iT邦幫忙

2021 iThome 鐵人賽

DAY 3
0
Security

資安由淺入深系列 第 3

【Day3】 Cyber Kill Chain 與 MITRE ATT&CK

哈囉~
今天要跟大家介紹網路攻擊鏈(Cyber Kill Chain)
自己在剛開始學習資訊安全時,
也是先透過數位靶場才了解到Cyber Kill Chain。
熟悉Cyber Kill Chain可以讓我們了解到通常駭客攻擊行動是什麼樣子
對於我們之後學習如何應對攻擊時,也能有幫助=)

話不多說,就先來介紹Cyber Kill Chain的流程吧!
https://ithelp.ithome.com.tw/upload/images/20210918/20141441fC7qWy2xFe.jpg

  1. Reconnaissance 偵蒐
    有分主動與被動。
    • 主動的像是Port Scan、網路釣魚、社交工程…等,
      會利用工具去掃描目標系統,調查有沒有port打開,
      以及分析目標系統有哪些漏洞是可以利用的。
    • 被動的則是從Public Info來蒐集資訊,像是去Facebook、IG等社交軟體蒐集資訊。
  2. Weaponization 武裝
    這個階段會開始準備攻擊的工具,透過前面偵蒐過程得到的資料,
    製作對應目標的系統攻擊,可能是自己寫的惡意程式,
    也可能透過現成攻擊工具,像是常見工具Metaploit。
  3. Delivery 派送
    這個階段就會開始派送前面製作的武器至目標系統,
    常見的手法如惡意的附加檔案、惡意郵件、USB,我們從網路下載的擴充套件及軟體也可能會藏有木馬。
  4. Exploitation 弱點攻擊
    確認武器已經成功的遞送到目標系統,並且已經觸發了攻擊程序,取得了部分系統控制權。
  5. Installation 安裝後門/木馬
    此階段是為了確保之後攻擊者能在持續的進入目標系統內,
    不會因為系統重置/重開就導致前面的惡意程式不能用。
    常見的手法如安裝木馬(Trojan)、後門程式(Backdoor)、Rootkit。
  6. Command and Control 命令與控制
    當我們前面的惡意程式都已經在目標系統內以後,攻擊者不一定會馬上就開始發動攻擊,
    有時會先潛伏在系統內,等待時機行動,或是蒐集更多資料,來入侵更深入的系統。
  7. Actions on Objectives 對目標採取行動
    這個階段就是指攻擊者開始發動攻擊,影響系統的CIA

以上就是駭客的攻擊流程,
另外介紹一下近年來資安業界提出的 MITRE ATT&CK
它算是一種定義了攻擊流程的資安框架,
跟上述的Cyber Kill Chain一樣都描述了攻擊者各階段的手法。
由於Cyber Kill Chain對於各資安公司的階段可能區分方式不同,有的可能分五階段或更多階段。
而MITRE在2013提出了ATT&CK,
根據真實企業的數據做觀察並分類後,所提出的新框架。
區隔出了11個階段,並用比較結構性的方式,說明了攻擊者各階段細部的慣用手法,
對於業界之間也比較有一個統一的標準去溝通。


上一篇
【Day2】Information Security Overview
下一篇
【Day4】淺談威脅情報,TTPs 與 IOC
系列文
資安由淺入深30

尚未有邦友留言

立即登入留言