Pawn Storm:攻击行动评估
                - By nEINEI

Time：2014-10-22	

				
1) 该行动是一场被指由俄罗斯政府支持的黑客组织所进行的网络间谍活动。
2) Pawn Storm组织引入了新的方法，攻击包括NATO(北大西洋公约组织)成员在内的目标，包括国防工业、军队、政府组织和媒体。
3) 在后续的研究分析表明，Pawn Storm黑客组织就是APT28、Sofacy、Sednit相关联的一次行动。

Symptoms
	 

相关样本信息：
  956d1a36055c903cb570890da69deabaacb5a18a
  9c622b39521183dd71ed2a174031ca159beb6479
  a90921c182cb90807102ef402719ee8060910345
  DAE7FAA1725DB8192AD711D759B13F8195A18821
  38F643B48B35B765326CEE6A1D16E1C35DCA93FD
  
最小闭合的攻击样本：
 
 漏洞文件:78d28072fdabf0b5aac5e8f337dc768d07b63e1e,size = 512353 
 dropper: 7FBB5A2E46FACD3EE0C945F324414210C2199FFB ,size = 494948
				
攻击能力计算： 
	开始Pawn Storm主要以钓鱼攻击为主，从15年后,开始陆续使用0day漏洞进行攻击，在后面APT28评估当中会给予进一步衡量。
	目前针对PawnStorm仅是针对2014年的攻击力情况。
	
	K = 2 (正常安全认知范围)
	a = 3 (无交互)
	s = 1 (鱼叉式网络钓鱼)
	m = 5 (代码注入,特种木马,rootkit，特定目标感染,武器集合)
	p = 2 (攻击2种平台，windows/mac)
	x = 2+5 (利用N DAY漏洞CVE-2012-0158/CVE-2010-3333，15年开始使用0day 漏洞攻击 CVE-2015-2590,CVE-2015-490);
	

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
	AT = (3 + 1 + 5 + 2) ^ 2 * (1 + 2 + 5) ^ 2 +　(512353+494948)/1024  
	   = 11^2 * (8^2)+ 983
	   = 7744+ 983
	   = 8727

	  ==> 8727*1000/1279625(1T攻击力单位) = 6.819T
				
参考引用：
1.https://www.trendmicro.de/cloud-content/us/pdfs/security-intelligence/white-papers/wp-operation-pawn-storm.pdf 
2.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt