WhiteBear APT:攻击行动评估
                - By nEINEI

Time：2017-08-30	

1) WhiteBaer是另一个庞大的黑客组织集群Skipper Turla的并行项目或者第二期活动,2014年时，我们曾经评估过Turla的攻击能力。

2) 攻击者针对目标发送带有恶意软件的网络钓鱼邮件，并远程监视以收集情报，攻击目标是外交和军事相关的机构和组织。

 
 
Symptoms
	 

相关样本信息： 
	19ce5c912768958aa3ee7bc19b2b032c 
	b099b82acb860d9a9a571515024b35f0 
	06bd89448a10aa5c2f4ca46b4709a879

IP
最小闭合的攻击样本：
   最初的感染向量已经无法获得，
   loadder：06bd89448a10aa5c2f4ca46b4709a879 ，size = 445488  
   main dll：09da9e80e4554be5c2734ced0e70a6a08eb9ddacb8c1d9155c44ad8f0cbad8d2 ，size = 403456  
			 	
攻击能力计算： 
	 
	K = 2 (正常安全认知范围)
	a = 3 (无交互)
	s = 1 (水坑攻击或鱼叉式钓鱼)
	m = 5 (代码注入，特种木马,特定人群，武器集合,高强度破解难度) 
	p = 1 (攻击1种平台，windows)
	x = 5+4(0day漏洞利用，伪造数字签名);
	 

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
	AT = (3 + 1 + 5 + 1) ^ 2 * (1+9) ^ 2 +　(445488+403456)/1024  
	   = 10^2 * (10^2)+ 829
	   = 10000+829
	   = 10829

	  ==> 10829*1000/1279625(1T攻击力单位) = 8.462T
				
参考引用：
1.https://securelist.com/introducing-whitebear/81638/
2.https://securelist.com/kopiluwak-a-new-javascript-payload-from-turla/77429/
3.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt