Saffron Rose:攻击行动评估
                - By nEINEI

Time：2014-05-13	

				
1) 出于政治动机的网站攻击和DDOS，后期转变为入侵活动包括单独凭据窃取和恶意软件安装，以美国国防组织为主要目标。 
2) 主要操纵者为伊朗Ajax Security Team黑客组织。

Symptoms
	 

相关样本信息：
	1823b77b9ee6296a8b997ffb64d32d21
	
最小闭合的攻击样本：
 
 backdoor:1823b77b9ee6296a8b997ffb64d32d21,size =226816
				
攻击能力计算： 
	 
	K = 2 (正常安全认知范围)
	a = 3 (无交互)
	s = 1 (入侵渗透及DDOS攻击)
	m = 3 (代码注入，特种木马，特定目标感染)
	p = 1 (攻击1种平台)
	x = 2 (DDOS攻击);
	

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
	AT = (3 + 1 + 3 + 1) ^ 2 * (1 + 2) ^ 2 +　(226816)/1024  
	   = 8^2 * (3^2)+ 222
	   = 576+ 222
	   = 798

	  ==> 798 *1000/1279625(1T攻击力单位) = 0.623T
				
参考引用：
1.https://www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/rpt-operation-saffron-rose.pdf
2.https://www.crowdstrike.com/blog/cat-scratch-fever-crowdstrike-tracks-newly-reported-iranian-actor-flying-kitten/
3.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt