APT37:攻击行动评估
                - By nEINEI

Time：2018-02-20	

1) APT37(也被称作Scarcruft，Group123和Reaper）该组织数年来都在对韩国进行网络攻击，自2017年以来又开始攻击日本、越南和一些中东国家，FireEye相信APT37于成立2012年。
 
2) 他们的目标主要是韩国的公共组织和私有企业。2017年，APT37将攻击目标的范围扩大到日本、越南、中东等地的垂直行业，包括化学、电子、制造业、航空工业、汽车和医疗业。

3) APT37的主要使命应该是收集情报来支持朝鲜的军事、政治和经济战略。
 
Symptoms
	 

相关样本信息： 
 
 
			

最小闭合的攻击样本：
    漏洞利用文档：183be2035d5a546670d2b9deeca4eb59，size = 18944  
    shellcode：7c2ebfc7960aac6f8d58b37e3f092a9c，size = 151571  
	 
	
攻击能力计算： 
	 
	K = 2 (正常安全认知范围)
	a = 3 (无交互)
	s = 1 (社会工程，web入侵、种子文件共享网站)
	m = 3 (代码注入，特种木马，特定目标感染) 
	p = 1 (攻击2种平台，windows)
	x = 2+5 (web入侵渗透，0day漏洞利用，CVE-2018-0802，CVE-2018-4878，Nday漏洞使用)
	 

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
	AT = (3 + 1 + 3 + 1) ^ 2 * (1+2+5) ^ 2 +　(18944+151571)/1024 
	   = 8^2 * (8^2)+ 167
	   = 4096+167
	   = 4263

	  ==>4263 *1000/1279625(1T攻击力单位) = 3.331T
				
参考引用：
1.https://www2.fireeye.com/rs/848-DID-242/images/rpt_APT37.pdf
2.https://www.fireeye.com/blog/threat-research/2018/02/apt37-overlooked-north-korean-actor.html
2.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt