Oilrig APT:攻击行动评估
                - By nEINEI

Time：2017-12-07	

1) Oilrig也称作APT34，是可疑的伊朗网络间谍威胁小组，主要集中在利用伊朗民族国家利益进行的侦察工作，至少自2014年以来一直在运作。
 
2) 攻击目标包括金融，政府，能源，化学和电信，并在很大程度上将其业务集中在中东。

3) APT34使用公共和非公共工具的组合，经常使用受损帐户进行鱼叉式网络钓鱼操作，有时还会采用社交工程策略。
 
Symptoms
	 

相关样本信息： 
 
4A7290A279E6F2329EDD0615178A11FF 
841CE6475F271F86D0B5188E4F8BC6DB 
52CA9A7424B3CC34099AD218623A0979 
BBDE33F5709CB1452AB941C08ACC775E 
247B2A9FCBA6E9EC29ED818948939702 
C87B0B711F60132235D7440ADD0360B0	 
			

最小闭合的攻击样本：
   最初的感染方式通过漏洞文档：
   cve-2017-11882：A0E6933F4E0497269620F44A083B2ED4，该文件尚未找到，
   下载的b.TXT 9267D057C065EA7448ACA1511C6F29C7,该文件尚未找到（该文件包含powershell的执行命令）
   v.txt/v.vbs（HEUR:Trojan.Script.Generic）：b2d13a336a3eb7bd27612be7d4e334df，size = 9141
   预估上述未知代码量在100K大小
			 	
攻击能力计算： 
	 
	K = 2 (正常安全认知范围)
	a = 3 (无交互)
	s = 1 (鱼叉式钓鱼攻击)
	m = 5 (代码注入，特种木马，特殊持久化隐藏，特定目标感染，被发现已有三年以上隐藏时间) 
	p = 1 (攻击1种平台，windows)
	x = 2 (Nday漏洞利用，cve-2017-0199，cve-2017-11882)
	 

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
	AT = (3 + 1 + 5 + 1) ^ 2 * (1+2) ^ 2 +　(9141)/1024 + 100
	   = 10^2 * (3^2)+ 109
	   = 900+109
	   = 1009

	  ==> 1009 *1000/ 1279625(1T攻击力单位) = 0.788T
				
参考引用：
1.https://www.fireeye.com/blog/threat-research/2017/12/targeted-attack-in-middle-east-by-apt34.html
2.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt