Taidoor APT:攻击行动评估
                - By nEINEI

Time：2012-08-18	

				
1) 从2009年3月以来持续攻击台湾地区政府的相关恶意活动，利用发送电子邮件，0day漏洞等方式。

2）目标明确，主要关注台湾竞选活动及台湾问题。 
 

Symptoms
	 

相关样本信息：
2d33005a26a9cb2063dde2fa179b453e
4b92f9b403fa59a35edf5af2f1aa98fb
1de1a60f51829e5e0d30dfd4b5197a72
ecd97b7cfb4c8715d7800a9808a1646f

					
最小闭合的攻击样本：

利用微软excel漏洞的样本：1b98c5ff3e733b387b4a9200b4ae0bf4aae432c7a84dd09d52d6d8245de156a3 ， size = 69645
预估木马程序在100k
				
攻击能力计算： 
	K = 2 (正常安全认知范围)
	a = 3 (无交互)
	s = 1 (邮件发送)
	m = 3 (代码注入,特种木马，特定目标感染)
	p = 1 (攻击1种平台)
	x = 5 (使用N day或是0day漏洞进行攻击，CVE-2009-4324，CVE-2010-1297，CVE-2010-2883，CVE-2011-1269)

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
    AT = (3 + 1 + 3 + 1) ^ 2 * (1 + 5) ^ 2 +　(69645/1024)+100
	   = 8^2 * (6^2)+ 168
	   = 2304+ 168
	   = 2472

	  ==> 2472*1000/613623(1T攻击力单位) = 1.931T
				
参考引用：
1.https://www.trendmicro.de/cloud-content/us/pdfs/security-intelligence/white-papers/wp_the_taidoor_campaign.pdf
2.http://blog.xecure-lab.com/2014/10/cve-2014-4114-pptx-apt-xecure-lab.html
3.http://www.sharecourse.net/sharecourse/upload/assign/51/submit/d41d8cd98f00b204e9800998ecf8427e.pdf
4.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt