Nitro APT:攻击行动评估
                - By nEINEI

Time：2011-10-31

				
1) 利用1DAY 漏洞或是发送钓鱼邮件引诱目标下载RAT木马。

2) 以全球化工企业进行信息的窃取行为。 
 
Symptoms
	 
	

相关样本信息：
    	091457444b7e7899c242c5125ddc0571
	07e266f7fb3c36a1f3a5c5d2d229a478
	17e7022496d8092d3ca76ae9524a7260
	2f37912e7cb6e5c478e6dc3d0e381a24
	5d075e9536c5494745135c1176981c96
	
最小闭合的攻击样本：
RAT :091457444b7e7899c242c5125ddc0571,SIZE = 177722;　
 
				
攻击能力计算： 
	K = 2 (正常安全认知理解范围)
	a = 3 (无交互)
	s = 1 (钓鱼邮件为主)
	m = 2 (代码注入，特种木马)
	p = 1 (攻击1种平台)
	x = 2+5 (N/1 0day 漏洞CVE-2012-4681的利用)
	
	c = 177722/1024 = 174

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
    AT = (3 + 1 + 2 + 1) ^ 2 * (1 + 5+2) ^ 2 +　(177722/1024)
	   = 7^2 * (8^2) + 174
	   = 3136+ 174
	   = 3310

	==> 3310 * 1000/1279625(1T攻击力单位) = 2.586T
				
参考引用：
1.http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the_nitro_attacks.pdf
2.https://blog.trendmicro.com/trendlabs-security-intelligence/the-nitro-campaign-and-java-zero-day/
3.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt