BlackEnergy APT:攻击行动评估
                - By nEINEI

Time：2016-01-28	

1) 2015年12月23日，乌克兰电力部门遭受到恶意代码攻击。这是一起以电力基础设施为目标；以BlackEnergy等相关恶意代码为主要攻击工具。

2) 以邮件发送恶意代码载荷为最终攻击的直接突破入口，通过远程控制SCADA节点下达指令为断电手段。以摧毁破坏SCADA系统实现迟滞恢复和状态致盲；
以DDoS服务电话作为干扰，最后达成长时间停电并制造整个社会混乱的具有信息战水准的网络攻击事件。 

 
Symptoms
 

相关样本信息：
	 
	AA67CA4FB712374F5301D1D2BAB0AC66107A4DF1
	8C26C70FBFFE7F250AAFF234BE9A014A996930BC
	4C424D5C8CFEDF8D2164B9F833F7C631F94C5A4C
	46F901106C7020C860D71E0C7E709E0F5B3DEDD8
	166D71C63D0EB609C4F77499112965DB7D9A51BB
	72D0B326410E1D0705281FDE83CB7C33C67BC8CA
	16F44FAC7E8BC94ECCD7AD9692E6665EF540EEC4
	6D6BA221DA5B1AE1E910BBEAA07BD44AFF26A7C0
	F3E41EB94C4D72A98CD743BBB02D248F510AD925

	
最小闭合的攻击样本：
    钓鱼文档，e15b36c2e394d599a8ab352159089dd2 = 1194496    
    backdoor :71b7cb770717fb9a38ffe5b132f59ebb size = 110592    
				
攻击能力计算： 
	 
	K = 2 (正常安全认知范围)
	a = 3 (无交互)
	s = 1 (鱼叉式网络钓鱼为主)
	m = 9 (代码注入，特种木马，特定目标感染,武器集合,恶意破坏，僵尸网络，改写自开源软件,范围极广的间谍功能，高难度&复杂技术实现) 
	p = 2 (攻击2种平台，windows/SCADA)
	x = 5 (对非个人操作系统（mac／windows／android）对利用及攻击技术);
	

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
	AT = (3 + 1 + 9 + 2) ^ 2 * (1+5) ^ 2 +　(1194496+110592)/1024 
	   = 15^2 * (6^2)+ 1274
	   = 8100+1274
	   = 9374

	  ==> 9374*1000/1279625(1T攻击力单位) = 7.325T
				
参考引用：
1.http://www.antiy.com/response/A_Comprehensive_Analysis_Report_on_Ukraine_Power_Grid_Outage/A_Comprehensive_Analysis_Report_on_Ukraine_Power_Grid_Outage.html
2.https://securelist.com/blackenergy-apt-attacks-in-ukraine-employ-spearphishing-with-word-documents/73440/
3.https://securelist.com/be2-extraordinary-plugins-siemens-targeting-dev-fails/68838/
4.http://www.welivesecurity.com/2016/01/04/blackenergy-trojan-strikes-again-attacks-ukrainian-electric-power-industry/
5.https://ics.sans.org/blog/2015/12/30/current-reporting-on-the-cyber-attack-in-ukraine-resulting-in-power-outage
6.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt