CozyDuke APT:攻击行动评估 - By nEINEI Time:2015-04-21 1) CozyDuke是一个精确的攻击者组织,目前确定已经攻击了美国,德国,韩国和乌兹别克斯坦政府组织和商业实体的迹象。据信,2014年,目标包括白宫和美国国务院。 2) 怀疑和MiniDuke/CosmicDuke/OnionDuke组织有非常密切联系,或者工程代码部分来自于同一作者。 Symptoms 相关样本信息: 75aeaee253b5c8ae701195e3b0f49308f3d1d932 446daabb7ac2b9f11dc1267fbd192628cc2bac19 87668d14910c1e1bb8bbea0c6363f76e664dcd09 9b56155b82f14000f0ec027f29ff20e6ae5205c2 78e9960cc5819583fb98fb619b33bff7768ee861 ac2b5928f46069111f4334f650a7dbf1b5f026d5 8b357ff017df3ed882b278d0dbbdf129235d123d 8ba7932a40008881a4ed975f52271c0b679eaff2 8bc2d5aa1f384d56f3e921bce5326de8ff4dce2d 8c3ed0bbdc77aec299c77f666c21659840f5ce23 8cc326473fd30ab5c97709e5a91fb04e18e72e96 8f1ac45360196a7b5a1680ff839a131394e9d9b4 8f467b32f1ec0f3b2efe10b3fed2a14b16075702 9319bf72000f8e468c182947dd5c82fb8b9ae419 最小闭合的攻击样本: 母体文件缺失,早期的钓鱼邮件,或者直接发送伪装的木马程序,预估100k Trojan:dcb9946020db99765d4806d12159f3cc8a30ca60b581584e6967df335ebb382d size = 4914752 攻击能力计算: K = 2 (正常安全认知范围) a = 3 (无交互) s = 1(鱼叉式网络钓鱼,社交工程学) m = 4 (代码注入,特种木马,特定目标感染,武器集合,) p = 1 (攻击1种平台,windows) x = 4 (伪造的数字签名); 攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c AT = (3 + 1 + 4 + 1) ^ 2 * (1+4) ^ 2 + (4914752)/1024 +100 = 9^2 * (5^2)+ 4899 = 2025 + 4899 = 6924 ==> 6924*1000/1279625(1T攻击力单位) = 5.411T 参考引用: 1.https://www.f-secure.com/documents/996508/1030745/CozyDuke 2.https://securelist.com/the-cozyduke-apt/69731/ 2.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt