Slingshot APT:攻击行动评估 - By nEINEI Time:2018-03-09 1) 该组织利用MikroTik路由器感染受害者,有证据表明他们于2012年开始活动,并且在2018年2月依然活跃。 2) 他们的目标主要是专注于感染中东和北非的独立个体—不是整个机构,攻击者通过非洲和中东多国被入侵的路由器感染数千台设备,这些国家包括阿富汗、伊拉克、肯尼亚、苏丹、索 马里、土耳其和也门。 3) 有媒体透露Slingshot代表的是美国特种作战司令部(SOCOM)下属联合特种作战司令部(JSOC)运作的一项军事计划。 4) 维基解密公布的Vault7文件中确实包含一个Mikrotik利用代码,不清楚Slingshot组织是与此存在关系。 Symptoms 相关样本信息: 042CC382ACB5B2B70C78BAA77BB7C5F9 AFAFF3310D8C094774DA6BA856C1A30E 01C85EE057B6B529891C0A4275A642DA 87A28A99697452A37FC229B3AA3AFE97 最小闭合的攻击样本: loader:6637DBCC6059A1E2E45956D98A3EA590,size = 313856 rat:64f705e55545a371e0f5e599cfbae5e9 ,size = 406016 攻击能力计算: K = 2 (正常安全认知范围) a = 3 (无交互) s = 2 (路由器入侵,或其他方式) m = 10 (代码注入,特种木马,rootkit,高难度&复杂技术实现,高强度破解难度,武器集合,特殊持久化隐藏,3年以上隐藏时间,范围极广的间谍功能,特定目标感染) p = 1 (攻击1种平台,windows) x = 2+8 (Nday漏洞利用,完全属于apt组织的独有的破解高难度目标的利用技术) 攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c AT = (3 + 2 + 10 + 1) ^ 2 * (1+2+8) ^ 2 + (313856+406016)/1024 = 16^2 * (11^2)+ 703 = 30976+703 = 31679 ==>31679*1000/1279625(1T攻击力单位) = 24.756T 参考引用: 1.https://s3-eu-west-1.amazonaws.com/khub-media/wp-content/uploads/sites/43/2018/03/09133534/The-Slingshot-APT_report_ENG_final.pdf 2.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt