Potao Express:攻击行动评估
                - By nEINEI

Time：2015-07-08	

1) Potao Express监视乌克兰，俄罗斯和白俄罗斯的高价值目标及其TrueCrypt加密数据。

2) Potao的目标分布在乌克兰和其他一些前苏联国家，包括俄罗斯，格鲁吉亚和大多直接针对白俄罗斯利用恶意软件。

  
Symptoms
 

相关样本信息：
	850C9F3B14F895AAA97A85AE147F07C9770FB4C7
	BB0500A24853E404AD6CA708813F926B90B38468
	71A5DA3CCB4347FE785C6BFFF7B741AF80B76091
	7664C490160858EC8CFC8203F88D354AEA1CFE43
	92A459E759320447E1FA7B0E48328AB2C20B2C64
	8839D3E213717B88A06FFC48827929891A10059E
	5C52996D9F68BA6FD0DA4982F238EC1D279A7F9D
	CE7F96B400ED51F7FAB465DEA26147984F2627BD
	D88C7C1E465BEA7BF7377C08FBA3AAF77CBF485F
	81EFB422ED2631C739CC690D0A9A5EAA07897531
	18DDCD41DCCFBBD904347EA75BC9413FF6DC8786
	E400E1DD983FD94E29345AABC77FADEB3F43C219
	EB86615F539E35A8D3E4838949382D09743502BF
	 
最小闭合的攻击样本：
    母体文件缺失，早期的可能为钓鱼邮件。预估100k
    dropper:a446ced5db1de877cf78f77741e2a804 size = 54784  
				
攻击能力计算： 
	 
	K = 2 (正常安全认知范围)
	a = 3 (无交互)
	s = 2(鱼叉式网络钓鱼和u盘攻击)
	m = 3 (代码注入，特种木马，特定目标感染) 
	p = 1 (攻击1种平台，windows)
	x = 2+4 (web方式入侵，伪造数字签名);
	

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
	AT = (3 + 2 + 3 + 1) ^ 2 * (1+2+4) ^ 2 +　(54784)/1024 +100
	   = 9^2 * (7^2)+ 154
	   = 3969+ 154
	   = 4123

	  ==> 4123*1000/1279625(1T攻击力单位) = 3.222T
				
参考引用：
1.https://www.welivesecurity.com/wp-content/uploads/2015/07/Operation-Potao-Express_final_v2.pdf
2.https://www.welivesecurity.com/2015/07/30/operation-potao-express/
3.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt