Duqu2 APT:攻击行动评估 - By nEINEI Time:2015-06-09 1) Duqu2的曝光极具戏剧性,卡巴斯基实验室检测到了一起牵涉多个内部系统的网络入侵行动,这事第一次被公开知道的APT组织攻击安全公司的例子。 2) 针对卡巴斯基实验室的初始攻击,以我们在亚太区的一个较小规模分支机构的某个员工为目标,怀疑基于电子邮件的鱼叉式钓鱼攻击手段发挥了重要作用。 3) 此恶意软件平台来自最富有技术能力、最神秘也最强大的APT组织中的一员——Duqu,其家族包括stuxnet,flame,Gauss。 Symptoms 相关样本信息: 089a14f69a31ea5e9a5b375dc0c46e45 16ed790940a701c813e0943b5a27c6c1 26c48a03a5f3218b4a10f2d3d9420b97 a6dcae1c11c0d4dd146937368050f655 acbf2d1f8a419528814b2efa9284ea8b c04724afdb6063b640499b52623f09b5 e8eaec1f021a564b82b824af1dbe6c4d 10e16e36fe459f6f2899a8cea1303f06 48fb0166c5e2248b665f480deac9f5e1 520cd9ee4395ee85ccbe073a00649602 7699d7e0c7d6b2822992ad485caacb3e 最小闭合的攻击样本: 母体文件缺失,早期的可能为钓鱼邮件。 MSI安装包:14712103ddf9f6e77fa5c9a3288bd5ee size = 503296 攻击能力计算: K = 2 (正常安全认知范围) a = 3 (无交互) s = 2(鱼叉式网络钓鱼,或者入侵方式,目前尚不是duqu2的最初感染向量) m = 12 (代码注入,特种木马,rootkit,攻击安全软件,高难度/复杂技术实现,横移渗透,武器集合,特定目标感染,支持多协议,攻击安全软件,范围极广的间谍功能,高强度破解难度) p = 1 (攻击1种平台,windows) x = 5+5+5+4 (包含3个0day漏洞利用CVE-2014-4148,CVE-2014-6324,CVE-2015-2360,伪造签名); 攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c AT = (3 + 2 + 12 + 1) ^ 2 * (1+5+5+5+4) ^ 2 + (503296)/1024 = 18^2 * (20^2)+ 491 = 129600+491 = 130091 ==> 130091*1000/1279625(1T攻击力单位) = 101.663T 参考引用: 1.https://www.virusbulletin.com/uploads/pdf/conference_slides/2015/OhFlorio-VB2015.pdf 2.https://blog.crysys.hu/2015/06/duqu-2-0/ 3.https://wikileaks.org/ciav7p1/cms/files/The_Mystery_of_Duqu_2_0_a_sophisticated_cyberespionage_actor_returns.pdf 4.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt