Oceanlotus-APT32:攻击行动评估
                - By nEINEI

Time：2015-05-29	

1) Oceanlotus也被称作APT32，该组织是一个网络间谍活动者，对涉及多个行业的私营公司进行入侵，并且还针对外国政府，持不同政见者和记者。
 
2) Oceanlotus利用一套独特的全功能恶意软件与商用工具相结合，开展符合越南国家利益的目标操作。

3) Oceanlotus是一个与越南政府利益一致的网络间谍组织,继续威胁东南亚和全球公共部门的政治活动和言论自由。越南侨民的政府，记者和成员可能继续成为攻击目标。

 
Symptoms
	 

相关样本信息： 
	ce50e544430e7265a45fab5a1f31e529
	5458a2e4d784abb1a1127263bd5006b5
	4f761095ca51bfbbf4496a4964e41d4f
	a08b9a984b28e520cbde839d83db2d14 
	877ecaa43243f6b57745f72278965467 
	87d108b2763ce08d3f611f7d240597ec 
	

最小闭合的攻击样本：
	包含宏的恶意文档：c161134bf3330c82eb0278fe54b2975c26301bdfdc4fc35d5344f9becf5574c7，size = 212546  
	backdoor:6ddd29aac7be4d3f84f898a1ed365c112e0a4705198c54415d8c54dd6c052e77 ,size = 2921472    
	
攻击能力计算： 
	 
	K = 2 (正常安全认知范围)
	a = 3 (无交互)
	s = 1 (鱼叉式钓鱼攻击和水坑攻击)
	m = 6 (代码注入，特种木马，3年以上隐藏时间，攻击安全软件(破坏McAfee ePO平台)，支持多协议，特定目标感染) 
	p = 1 (攻击1种平台，windows)
	x = 2 (使用Nday漏洞，CVE-2017-11882，CVE-2016-7255)
	 

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
	AT = (3 + 1 + 6 + 1) ^ 2 * (1+2) ^ 2 + (212546+2921472)/1024
	   = 11^2 * (3^2)+ 3060
	   = 1089+3060
	   = 4149

	  ==>4149*1000/1279625(1T攻击力单位) = 3.242T
				
参考引用：
1.http://blogs.360.cn/blog/oceanlotus-apt/
2.https://www.fireeye.com/blog/threat-research/2017/05/cyber-espionage-apt32.html
3.https://www.welivesecurity.com/wp-content/uploads/2018/03/ESET_OceanLotus.pdf 
4.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt