Hidden Lynx:攻击行动评估 - By nEINEI Time:2013-09-17 1) Hidden Lynx是50~100人的顶级黑客组织,造成了多起重大网络安全事件,例如Big9事件,VOHO事件,FINSHO行动,SCADEF行动。 2) 该组织有强大研发能力,可以挖掘0day漏洞并且配合入侵来应用,有自己的特种木马,Backdoor,Hikit,Backdoor.Fexel和 Backdoor.Gresim。 3) 该组织被看作是和Aurora APT存在关联的,而后续的SnowMan行动,OperationDog/Operation Ephemeral Hydra行动都被认为和此有关联,故不再单独评估。 Symptoms When the Trojan is executed, it creates the following files: %UserProfile%\AppMgmt.dll %Windir%\Temp\uid.ax The Trojan creates the following registry entries: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\AppMgmt\"Start" = "2" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\AppMgmt\Parameters\"ServiceDll" = "%UserProfile%\AppMgmt.dll" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\AppMgmt\"Type" = "272" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\AppMgmt\"FailureActions" = "[BINARY DATA]" 相关样本信息: 6fe1634dce1d095d6b8a06757b5b6041 最小闭合的攻击样本: 漏洞文件:1750a38a44151493b675538a1ac2070b,size =121872 rat:7eab6441ec8fb3e1d4db584d978fdc4a,size = 110080 攻击能力计算: 对该组织的攻击能力评估较为复杂,因为它不是一次攻击产生的能力评估,HiddenLynx攻击过上百个目标,对其拥有的真实实力的评估需要衡量, 故这里突出制造武器能力,漏洞利用能力进行了合理的推断,不再采用单一事件的一个例子来进行评估。 K = 2 (正常安全认知范围) a = 3 (无交互) s = 2 (鱼叉式网络钓鱼 或者水坑攻击或SQL注入,这里评估给2) m = 6 (代码注入,特种木马,武器集合,特定文件的利用(Multiple Ichitaro Products CVE-2014-7247 Unspecified Remote Code Execution Vulnerability),特定目标感染,范围极广的间谍功能) p = 1 (攻击1种平台) x = 4+5+5 (盗用数字签名,0Day漏洞利用,CVE-2011-3544,CVE-2012-1875,cve-2012-1889,cve-2012-1723,cve-2012-0779,cve-2013-1493, 为了达到目标甚至会使用2个以上0day,故漏洞这里给予10); 攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c AT = (3 + 2 + 6 + 1) ^ 2 * (1 + 4+5+5) ^ 2 + (121872+110080)/1024 = 12^2 * (15^2)+ 227 = 32400+ 227 = 32427 ==> 32427*1000/613623(1T攻击力单位) = 25.341T 参考引用: 1.http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/hidden_lynx.pdf 2.https://threatpost.com/why-watering-hole-attacks-work-032013/77647/ 3.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt