Night Dragon:夜龙攻击行动评估 - By nEINEI Time:2011-02-10 1) SQL注入及RAT远控木马的利用。 2)对能源行业的信息侦测及文档窃取为主要目的。 Symptoms 相关样本信息: zwShell.exe 093640a69c8eafbc60343bf9cd1d3ad3 zwShell.exe 85df6b3e2c1a4c6ce20fc8080e0b53e9 最小闭合的攻击样本: 1 SQL注入+RAT远控利用, RAT:093640a69c8eafbc60343bf9cd1d3ad3 ,size = 631,808 攻击能力计算: K = 2 (正常安全认知范围) a = 3 (无交互) s = 1 (网络入侵) m = 2 (代码注入+特种木马) p = 1 (攻击1种平台,WINDOWS) x = 1 (SQL 注入) 攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c AT = (3 + 1 + 2 + 1)^(1) *(1+1)^2 + ((631,808)/1024) = 7^2 * 2^2 + 617 = 196+617 = 813 AT ==> 813*100/1279625(1T攻击力单位) = 0.635T 参考引用: 1. http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf 2. http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/stuxnet_0_5_the_missing_link.pdf 3.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt