LuckyMouse:攻击行动评估
                - By nEINEI

Time：2018-06-13	

1) LuckyMouse行动是一项针对中亚国家数据中心的持续活动,这意味着攻击者获得了广泛的政府相关的资源。

2) LuckyMouse黑客组织也被称为Iron Tiger、EmissaryPanda或者APT27，今年早些时候也被发现使用比特币挖矿软件对亚洲多个国家实施网络攻击。该组织从2010年开始活跃，
之前从美国的国防项目承包商中窃取了大量数据。 

Symptoms
	 

相关样本信息： 
	22CBE2B0F1EF3F2B18B4C5AED6D7BB79
	0D0320878946A73749111E6C94BF1525
	ac337bd5f6f18b8fe009e45d65a2b09b
	04dece2662f648f619d9c0377a7ba7c0

最小闭合的攻击样本：
	初始的感染向量未知，预估100k
	dropper：22cbe2b0f1ef3f2b18b4c5aed6d7bb79，size = 123521   
	backdoor:04dece2662f648f619d9c0377a7ba7c0 ,size = 81920     
	
攻击能力计算： 
	 
	K = 2 (正常安全认知范围)
	a = 3 (无交互)
	s = 1 (鱼叉式钓鱼攻击或水坑攻击)
	m = 4 (代码注入，特种木马，特殊持久化隐藏，特定目标感染) 
	p = 1 (攻击1种平台，windows)
	x = 2+2 (使用Nday漏洞，CVE-2017-118822，web入侵方式)
	 

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
	AT = (3 + 1 + 4 + 1) ^ 2 * (1+2+2) ^ 2 + (123521+81920)/1024 + 100
	   = 9^2 * (5^2)+ 300
	   = 2025+300
	   = 2325

	  ==>2325*1000/1279625(1T攻击力单位) =1.816T
				
参考引用：
1.https://securelist.com/luckymouse-hits-national-data-center/86083/
2.https://labs.bitdefender.com/2018/02/operation-pzchao-a-possible-return-of-the-iron-tiger-apt/
3.http://newsroom.trendmicro.com/blog/operation-iron-tiger-attackers-shift-east-asia-united-states
4.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt