Sandworm Team:攻击行动评估
                - By nEINEI

Time：2013-10-14	

				
1) 俄罗斯的网络间谍团队一直在利用Windows零日漏洞攻击一些国家的各种组织，包括美国，波兰，乌克兰和西欧。
2) Sandworm的团队可能自2009年以来一直活跃，破坏政府机构的用户，北约，学术机构，电信，国防和能源公司。 

Symptoms
	 

相关样本信息：
	 330e8d23ab82e8a0ca6d166755408eb1
	 48937e732d0d11e99c68895ac8578374
	 8313034e9ab391df83f6a4f242ec5f8d
	 c931be9cd2c0bd896ebe98c9304fea9e
	 330e8d23ab82e8a0ca6d166755408eb1
最小闭合的攻击样本：
 
 漏洞文件：330e8d23ab82e8a0ca6d166755408eb1,size = 108917
 payload：8a7c30a7a105bd62ee71214d268865e3，size = 108544
攻击能力计算： 
	 
	K = 2 (正常安全认知范围)
	a = 3 (无交互)
	s = 1 (鱼叉式网络钓鱼)
	m = 5 (代码注入，逻辑漏洞，特种木马，特定目标感染，武器集合)
	p = 2(攻击2种平台windows/GE智能平台的CIMPLICITY)
	x = 5 (0day漏洞利用);
	

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
	AT = (3 + 1 + 5 + 2) ^ 2 * (1 + 5) ^ 2 +　(108917+108544)/1024  
	   = 11^2 * (6^2)+ 212
	   = 4356+ 212
	   = 4568

	  ==>4568 *1000/1279625(1T攻击力单位) = 3.569T
				
参考引用：
1.https://www.isightpartners.com/2014/10/cve-2014-4114/
2.https://blog.trendmicro.com/trendlabs-security-intelligence/sandworm-to-blacken-the-scada-connection/
3.https://www.zscaler.com/blogs/research/analysis-sandworm-cve-2014-4114-0-day
4.https://digitalforensicfocus.wordpress.com/2015/10/21/sandworm-apt-group/
5.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt