Dragonfly APT:攻击行动评估
                - By nEINEI

Time：2014-07-04	

1) Dragonfly组织来自于东欧地区，别名Energetic Bear。主要攻击目标集中在欧洲和北美洲的能源公司，ICS工业设备。
2) 目的似乎希望了解能源设施的运作方式，并获得操作系统的访问权。从某种程度上说，该组织如果想做的话，则有能力破坏或控制这些系统。
3) 该组织同BlackEnergy可能有十分密切的关联。

Symptoms
	 
Installation
File system modifications
• %Temp%\qln.dbx
• %System%\TMPprovider038.dll

Registry modifications
In this specific example, the ‘038’ in the file name indicates the major version number.
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\”TmProvider”
• HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”TmProvider”
• HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Internet Explorer\InternetRegistry\”fertger”
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\InternetRegistry

Code injection
• Backdoor.Oldrea injects code into explorer.exe.

相关样本信息：
1080e27b83c37dfeaa0daaa619bdf478
ba8da708b8784afd36c44bb5f1f436bc
c6e161a948f4474849d5740b2f27964a
	 
最小闭合的攻击样本：
  
  rat cf75059f2655ca95b4eba11f1ce952d8e08bb4dbcb12905f6f37cf8145a538d, size =423472
				
攻击能力计算： 
	 
	K = 2 (正常安全认知范围)
	a = 3 (无交互)
	s = 1 (鱼叉式网络钓鱼，水坑攻击)
	m = 4 (代码注入，漏洞利用工具包，特种木马，特定目标感染)
	p = 1 (攻击1种平台)
	x = 1 (低威胁利用);
	

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
	AT = (3 + 1 + 4 + 1) ^ 2 * (1 + 1) ^ 2 +　(423472)/1024  
	   = 9^2 * (2^2)+ 414
	   = 324+ 414
	   = 738

	  ==>738*1000/9625127(1T攻击力单位) = 0.576T
				
参考引用：
1.https://www.symantec.com/security-center/writeup/2013-052817-2105-99
2.https://www.symantec.com/security-center/writeup/2010-121515-0725-99
3.http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/Dragonfly_Threat_Against_Western_Energy_Suppliers.pdf
4.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt