前言

Hi 各位好～今天我們要來聊聊什麼是 網路攻擊鏈（Cyber Kill Chain）！
這個概念其實是一種駭客攻擊的生命週期模型，它幫助我們從攻擊者的角度來理解整個入侵流程是怎麼一步步進行的

不論是做資安防禦、事件應變，甚至是日後做惡意樣本分析，只要你了解攻擊鏈，就能更清楚：

• 駭客目前可能滲透到哪個階段？
• 我們有哪些資源可以用來調查與應對？
• 在不同階段該用什麼防禦工具和策略？

Cyber Kill Chain 七個階段

1. 偵察（Reconnaissance）
   駭客會先收集目標資訊，分為：
   • 被動偵察：
     透過公開來源（例如：LinkedIn、WHOIS、Shodan、OSINT 工具）來收集資訊，不直接與目標互動
   • 主動偵察：
     直接針對目標網路或主機進行掃描、探測（例如：Nmap、port scan），但較易被偵測到
     偵察是攻擊的起點，收集越多、越準確，後續階段成功率就越高
2. 武器化（Weaponization）
   攻擊者會利用先前收集的資訊，製作或客製化攻擊工具，例如：惡意文件、漏洞利用、或特定設計的惡意軟體
3. 投遞（Delivery）
   將武器送達目標系統，常見手法有釣魚信、USB、網站下載等
4. 利用（Exploitation）
   利用漏洞執行惡意程式，進一步入侵系統
5. 安裝（Installation）
   在系統中建立持久化機制，確保攻擊者下次能再次進入，例如：植入後門或木馬
6. 命令與控制（Command & Control, C2）
   建立與駭客之間的通訊管道，遠端操控被害系統
7. 目標達成（Actions on Objectives）
   最終目的：竊取資料、勒索、破壞系統，或作為跳板攻擊

只要在這七個步驟中的任何一個階段成功攔阻駭客行動，整條攻擊鏈就會被中斷，攻擊也無法完成

補充觀念：攻擊鏈不一定是「線性」的

雖然 Cyber Kill Chain 描繪出攻擊的順序邏輯，但在實際攻擊中，駭客並不會照著這七個階段一步一步走到底就結束了
現實中的攻擊行為更像是一種不斷循環的流程，舉例來說：

一旦攻擊者成功完成「安裝」階段，他很可能會再次回到偵察（Reconnaissance）階段，尋找下一個內部目標或漏洞，持續向網路更深處滲透，直到達成最終目標

這種重複、橫向移動的行為（Lateral Movement）在 APT 攻擊中非常常見
因此我們在事件應變或威脅獵捕時，不該只用一次性的流程眼光看待攻擊行為，而應用「持續進行的攻擊循環」來分析行為模式

結論

Cyber Kill Chain 價值在於讓防禦者能夠換位思考，從駭客的角度設計防禦策略，並在各個階段提前準備對策。接著，可以參考NIST SP 800-61，將這些理念落實為具體流程，使事件發生時能夠從容應對，而非手忙腳亂。