HeartBeat APT:攻击行动评估 - By nEINEI Time:2012-01-03 1) 针对韩国的攻击行动,始于2009年,攻击者利用文档溢出的漏洞释放控制工具 RAT 控制目标机器 2) 攻击目标为韩国的政府分支机构、武装部队、新闻媒体和国家政策研究机构等。 Symptoms 相关样本信息: 7f1a633384ec97fae9d95d1df9e1135a 4046dec1aa0eebb01fe7469184a95398 20bb652e1d2679ed230102aa9676eca0 最小闭合的攻击样本: 没有相关联的母体文件及rat文件: 预估:word文档+rat文件 ~= 100K RAT dll:0272fa9bf14ffc005bf6690c46dd0806a9b4adcc116383782130ed3f661351c7,SIZE = 10240,  攻击能力计算: K = 2 (正常安全认知理解范围) a = 3 (无交互) s = 1 (钓鱼邮件为主) m = 3 (代码注入,特定文件的利用,特定目标感) p = 1 (攻击1种平台) x = 5 (无详细信息批露,但说明了使用一种特定的文档格式溢出方式来安装RAT) c = 10240+10240/1024 = 20 攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c AT = (3 + 1 + 3 + 1) ^ 2 * (1 + 5) ^ 2 + (10240/1024)+10 = 8^2 * (6^2) + 110 = 2304+ 110 = 2414 ==> 2414 * 1000/ 1279625(1T攻击力单位) = 1.886T 参考引用: 1.https://www.trendmicro.de/cloud-content/us/pdfs/security-intelligence/white-papers/wp_the-heartbeat-apt-campaign.pdf 2.https://cysinfo.com/session-11-part-2-dissecting-the-heartbeat-apt-rat-features/ 3.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt