APT28:攻击行动评估
                - By nEINEI

Time：2014-10-28	

				
1) 该行动是一场被指由俄罗斯政府支持的黑客组织所进行的网络间谍活动。
2) 攻击包括NATO(北大西洋公约组织)成员在内的目标，包括国防工业、军队、政府组织和媒体。
3) APT28就是Pawn Storm、Sofacy、Sednit.

Symptoms
	 

相关样本信息：
  8b92fe86c5b7a9e34f433a6fbac8bc3a
  272f0fde35dbdfccbca1e33373b3570d
  da2a657dc69d7320f2ffc87013f257ad
  ead4ec18ebce6890d20757bb9f5285b1
  
最小闭合的攻击样本：
 
 漏洞文件:0e0f7e17b8926d9bfd43a320d703e41b,size = 18777 
 dropper: 8b92fe86c5b7a9e34f433a6fbac8bc3a ,size = 14848 
				
攻击能力计算： 
	开始Pawn Storm主要以钓鱼攻击为主，从15年后,开始陆续使用0day漏洞进行攻击，在后面APT28评估当中会给予进一步衡量。
	目前针对PawnStorm仅是针对2014年的攻击力情况。
	
	K = 2 (正常安全认知范围)
	a = 3 (无交互)
	s = 1 (鱼叉式网络钓鱼)
	m = 9 (代码注入,rootkit，横移渗透，武器集合，漏洞利用工具包,特种木马，特殊目标感染，范围极广的间谍功能，高难度&复杂技术实现)
	p = 4 (攻击4种平台，windows/mac/Android/linux)
	x = 5+5 (15年开始使用0day 漏洞攻击 CVE-2015-3043,CVE-2015-7645,CVE-2015-1701,CVE-2015-2590,CVE-2015-4902,
	CVE-2016-1019,CVE-2016-4117,,CVE-2016-7255,CVE-2016-7855，
	CVE-2017-0261,CVE-2017-0263,CVE-2017-11292,APT28具有大量的漏洞库同时也会组合2个以上的漏洞进行攻击，故这里5+5)
	

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
	AT = (3 + 1 + 9 + 4) ^ 2 * (1 + 5+5) ^ 2 +　(18777+14848)/1024 + 800 
	   = 17^2 * (11^2)+ 832
	   = 34969 + 832
	   = 35801

	  ==> 35801 *1000/1279625(1T攻击力单位) = 27.977T
				
参考引用：
1.https://www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/rpt-apt28.pdf
2.https://www.sekoia.fr/blog/tag/apt28/
3.https://artemonsecurity.blogspot.com/2017/01/wingbird-rootkit-analysis.html
4.https://www.proofpoint.com/us/threat-insight/post/apt28-racing-exploit-cve-2017-11292-flash-vulnerability-patches-are-deployed
5.http://www.sekoia.fr/blog/wp-content/uploads/2016/10/Rootkit-analysis-Use-case-on-HIDEDRV-v1.6.pdf
6.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt