Dark Caracal APT:攻击行动评估
                - By nEINEI

Time：2018-01-18	

1) Dark Caracal组织将移动设备优先作为主要的攻击向量（也持续针对windows系统），是首批公开的执行全球间谍行动的移动平台的APT威胁组织之一。
 
2) “Dark Caracal”可能是由位于黎巴嫩首都贝鲁特的国家安全局管理控制的组织，目标包括民族国家，尤其是哈萨克斯坦，一般会攻击的个人和实体，包括政府、军事目标、
公共设施、金融机构、制造企业和国防承包商。

3) 窃取的信息包括文档、通话记录、音频记录、加密通信客户端内容、联系信息、文本信息、照片和账户数据。
 
Symptoms
	 

相关样本信息： 
 
	b0151434815f8b3796ab83848bf6969a2b2ad721 SHA1 com.primo.mobile.android.app
	bfbe5218a1b4f8c55eadf2583a2655a49bf6a884 SHA1 org.thoughtcrime.securesms
	47243997992d253f7c4ea20f846191697999cd57 SHA1 com.psiphon3
	ed4754effda466b8babf87bcba2717760f112455 SHA1 com.gbwhatsapp
	309038fceb9a5eb6af83bd9c3ed28bf4487dc27d SHA1 org.telegram.plus
	eaed6ce848e68d5ec42837640eb21d3bfd9ae692 SHA1 org.torproject.android
			

最小闭合的攻击样本：
    移动端恶意程序：7d47da505f8d3ee153629b373f6792c8858f76e8，size = 1698516 
	rat：ba4e063472a2559b4baa82d5272304a1cdae6968145c5ef221295c90e88458e2 ，size = 1141856 
	选择（1698516+1141856）/2  = 取平均值
	
攻击能力计算： 
	 
	K = 2 (正常安全认知范围)
	a = 3 (无交互)
	s = 1 (社会工程，钓鱼邮件，水坑攻击，或是利用虚假软件方式)
	m = 4 (代码注入，特种木马(自定义开发Pallas工具，也利用FinFisher等)，特定目标感染) 
	p = 2 (攻击2种平台，windows/android)
	x = 2 (web入侵渗透)
	 

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
	AT = (3 + 1 + 4 + 2) ^ 2 * (1+2) ^ 2 +　(1420186)/1024 
	   = 10^2 * (3^2)+ 1386
	   = 900+1386
	   = 2286

	  ==> 2286 *1000/ 1279625(1T攻击力单位) = 1.786T
				
参考引用：
1.https://info.lookout.com/rs/051-ESQ-475/images/Lookout_Dark-Caracal_srr_20180118_us_v.1.0.pdf
2.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt