BlackOasis APT:攻击行动评估 - By nEINEI Time:2017-10-16 1) BlackOasis攻击目标涉及联合国、反对派宣扬者和活动家,以及区域新闻记者的杰出人物。在2016年期间,目标涉嫌与石油、洗钱和其他非法活动有关。 2) 受害者包含以下国家:俄罗斯,伊拉克,阿富汗,尼日利亚,利比亚,约旦,突尼斯,沙特阿拉伯,伊朗,荷兰,巴林,英国和安哥拉。 Symptoms 相关样本信息: 最小闭合的攻击样本: 0day:0e0f7e17b8926d9bfd43a320d703e41b,size = 18777 dropper:4a49135d2ecc07085a8b7c5925a36c0a ,size = 1380864 攻击能力计算: K = 2 (正常安全认知范围) a = 3 (无交互) s = 1 (水坑攻击或鱼叉式钓鱼) m = 3 (代码注入,特种木马,特定人群) p = 1 (攻击1种平台,windows) x = 5(0day漏洞利用,CVE-2015-5119 - 2015年6月,CVE-2016-0984 - 2015年6月,CVE-2016-4117 - 2016年5月, CVE-2017-11292 - 2017年10月); 攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c AT = (3 + 1 + 3 + 1) ^ 2 * (1+5) ^ 2 + (18777+1380864)/1024 = 8^2 * (6^2)+ 1366 = 2304+1366 = 3670 ==>3670*1000/1279625(1T攻击力单位) = 2.868T 参考引用: 1.https://securelist.com/blackoasis-apt-and-new-targeted-attacks-leveraging-zero-day-exploit/82732/ 2.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt