GravityRAT APT:攻击行动评估 - By nEINEI Time:2018-01-27 1) 印度的国家计算机应急响应小组(CERT)曾公布过一些信息,表示攻击者曾使用GravityRAT发起针对印度的攻击活动。 2) GravityRAT的持续发展时间至少已长达18个月之久,在此期间开发者已经实现了一些新的功能。 3) 印度CERT认为此次攻击活动针对的是印度的实体及组织。 Symptoms 相关样本信息: 911269e72cd6ed4835040483c4860294d26bfb3b351df718afd367267cd9024f fb7aa28a9d8fcfcabacd7f390cee5a5ed67734602f6dfa599bff63466694d210 ef4769606adcd4f623eea29561596e5c0c628cb3932b30428c38cfe852aa8301 cd140cf5a9030177316a15bef19745b0bebb4eb453ddb4038b5f15dacfaeb3a2 07682c1626c80fa1bb33d7368f6539edf8867faeea4b94fedf2afd4565b91105 最小闭合的攻击样本: 钓鱼文档:0c926bc924f2b1e843aec259e2bd5f42,size = 21812 rat:ec629f648434fc3d17e9561532d038c8 ,size = 660480 a = 2时, c = 最小闭合文件大小/1024 * 6 攻击能力计算: K = 2 (正常安全认知范围) a = 2 (有交互) s = 1 (鱼叉式钓鱼攻击) m = 4 (代码注入,特种木马,武器集合,特定目标感染) p = 1 (攻击1种平台,windows) x = 0 (无) 攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c AT = (2 + 1 + 4 + 1) ^ 2 * (1+0) ^ 2 + (21812+660480)/1024*6 = 8^2 * (1^2)+ 112 = 64+112 = 176 ==>176*1000/1279625(1T攻击力单位) = 0.137T 参考引用: 1.https://nic-cert.nic.in/NIC_CERT/pdf/13-Advisory%20for%20Malicious%20Targeted%20Attack%20Campaign.pdf 2.https://mdb-dev.es/2018/04/27/gravityrat-the-two-year-evolution-of-an-apt-targeting-india/ 2.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt