Gaza Cybergang:攻击行动评估
                - By nEINEI

Time：2017-10-30	

1) Gaza Cybergang是一个用阿拉伯语，政治动机的网络犯罪集团，自2012年开始运作，并积极瞄准MENA（中东北非）地区。
 
2) 其典型目标包括政府实体/大使馆，石油和天然气，媒体/媒体，活动家，政治家和外交官。

 
Symptoms
	 

相关样本信息： 
  
302565aec2cd47bb6b62fa398144e0ad	
f94385be79ed56ef77c961aa6d9eafbf
f6e8e1b239b66632fd77ac5edef7598d	
a347d25ed2ee07cbfe4baaabc6ff768b
8921bf7c4ff825cb89099ddaa22c8cfd	
674dec356cd9d8f24ef0f2ec73aaec88
3bb319214d83dfb8dc1f3c944fb06e3b	

最小闭合的攻击样本：
  
   漏洞文档（cve-2017-0199）：87a67371770fda4c2650564cbb00934d，size = 2278576(逻辑漏洞完成按照文档内url下载执行，故不计入统计当中)    
   dropper：552796e71f7ff304f91b39f5da46499b ，size = 256000   
			 	
攻击能力计算： 
	 
	K = 2 (正常安全认知范围)
	a = 3 (无交互)
	s = 1 (水坑攻击或鱼叉式钓鱼)
	m = 3 (代码注入，改写自开源软件，特定目标感染) 
	p = 2 (攻击2种平台，windows/android)
	x = 2(Nday漏洞利用，cve-2017-0199);
	 

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
	AT = (3 + 1 + 3 + 2) ^ 2 * (1+2) ^ 2 +　(256000)/1024  
	   = 9^2 * (3^2)+ 250
	   = 729+250
	   = 979

	  ==>979*1000/1279625(1T攻击力单位) = 0.765T
				
参考引用：
1.https://securelist.com/gaza-cybergang-wheres-your-ir-team/72283/
2.https://securelist.com/gaza-cybergang-updated-2017-activity/82765/
2.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt