Blue-termite:攻击行动评估
                - By nEINEI

Time：2015-08-20	

1) 从2013年11月开始，Blue-termite组织针对日本的高级持续性威胁（APT）“蓝色白蚁”。

2) 蓝白蚁的主要焦点是攻击日本组织;他们的大多数C2都位于日本。其中一个主要目标是日本养老金服务，但目标行
业的名单包括政府和政府机构，地方政府，公共利益团体，大学，银行，金融服务，能源，通信，重工业，化工，汽车，
电气，新闻媒体，信息服务部门，医疗保健，房地产，食品，半导体，机器人，建筑，保险，运输等。


  
Symptoms
 

相关样本信息：
	f46019f795bd721262dc69988d7e53bc
	512d93c711f006891cbc124392c2e8d9
	b3bc4b5f17fd5f87ec3714c6587f6906
	f8d9af763e64c420ffa6e8930727f779
	3b42577bbd602934a728744f242ffe26
	f07216c34689a9104b29bbdcba17325f
	

	
最小闭合的攻击样本：
    母体文件缺失，早期的可能为钓鱼邮件。预估100k
    dropper:0e6e581a7c87e89ca8a4b9ac5fd03882 size = 438272  
				
攻击能力计算： 
	 
	K = 2 (正常安全认知范围)
	a = 3 (无交互)
	s = 1(鱼叉式网络钓鱼为主)
	m = 4 (代码注入，特种木马，高强度破解难度，特定目标感染) 
	p = 1 (攻击1种平台，windows)
	x = 2(N day方式，很早的利用了hacking team组织公开的技术，实现了CVE-2015-5119的利用);
	

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
	AT = (3 + 1 + 4 + 1) ^ 2 * (1+2) ^ 2 +　(438272)/1024 +100
	   = 9^2 * (3^2)+ 528
	   = 729+ 528
	   = 1257

	  ==> 1257*1000/1279625(1T攻击力单位) = 0.982T
				
参考引用：
1.https://securelist.com/new-activity-of-the-blue-termite-apt/71876/
2.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt