今天我已經懶得想標題了,我們就直接來看這個是甚麼東西吧
Cyber Kill Chain (網路攻擊殺傷鏈) 是在我們資安中一個非常經典且重要的框架,由美國國防承包商洛克希德·馬丁 (Lockheed Martin) 公司提出。它將一次網路攻擊的完整生命週期,從最初的準備到最終的目標達成,拆解成七個連續的階段。
這個模型的最大價值在於,它為防禦方 (Blue Team) 提供了一個清晰的分析框架。核心理念是:攻擊是一條環環相扣的鏈條,攻擊者必須成功完成每一個階段才能達成最終目標;而防禦方只要能成功阻斷其中任何一個環節,就能瓦解整次攻擊。
我們現在來看一下Cyber Kill Chain 的七個階段
** 1. 偵察 (Reconnaissance)**
攻擊者目標:收集目標情資,為後續攻擊做準備。這是攻擊的「情報蒐集」階段。
攻擊者行為:
被動偵察:透過公開來源情報 (OSINT) 進行蒐集,例如:搜尋公司網站、社群媒體 (LinkedIn)、新聞稿、網域名稱註冊資訊 (Whois)。
主動偵察:直接與目標系統互動以獲取資訊,例如:使用 nmap 進行連接埠掃描 (Port Scanning)、網路拓撲探測,以了解目標網路的架構和正在運行的服務。
2. 武器化 (Weaponization)
攻擊者目標:將惡意程式碼 (Payload) 與一個良性的載體(例如 PDF、Word 文件)進行捆綁,製作成可投遞的「武器」。
攻擊者行為:
我們的駭客將後門程式 (Backdoor) 或遠端存取木馬 (RAT) 嵌入到一個 Office 文件的巨集 (Macro) 中。
將惡意程式碼與一個常見軟體的安裝檔重新打包。
建立一個包含漏洞利用套件 (Exploit Kit) 的惡意網站。
3. 投遞 (Delivery)
攻擊者目標:將製作好的「武器」傳送給目標。這是攻擊者與目標系統的首次接觸。
攻擊者行為:
社交工程 (Social Engineering) 是最常見的手段,例如:網路釣魚郵件 (Phishing)、魚叉式釣魚 (Spear Phishing)。
或是將惡意 USB 隨身碟放置在目標公司附近(誘餌攻擊, Baiting)。
也可以透過被入侵的合法網站進行「水坑式攻擊」(Watering Hole Attack)。
4. 漏洞利用 (Exploitation)
攻擊者目標:觸發目標系統上的漏洞,讓惡意程式碼得以執行。
攻擊者行為:
誘騙使用者打開帶有惡意巨集的 Word 文件並啟用內容。
使用者瀏覽惡意網站時,利用瀏覽器或外掛程式(如 Flash, Java)的漏洞自動執行程式碼。
利用作業系統或伺服器軟體(如 Apache Struts)的遠端程式碼執行 (RCE) 漏洞。
5. 安裝 (Installation)
攻擊者目標:在受駭的系統上安裝惡意軟體或後門,以建立「持續性」(Persistence)。
攻擊者行為:
在系統中安裝一個遠端存取木馬 (RAT)。
然後修改登錄檔 (Registry)、排定的工作 (Scheduled Tasks),確保惡意程式在電腦重啟後仍能自動運行。
6. 指揮與控制 (Command & Control / C2)
攻擊者目標:建立一個從受駭系統到攻擊者伺服器(C2 Server)的雙向通訊管道。
攻擊者行為:
受駭主機上的惡意程式會定期向外部的 C2 伺服器發送訊號(稱為 Beaconing 或 Heartbeat),回報自己還存活。
攻擊者透過這個管道下達指令,並接收回傳的資料。
為了隱匿,C2 流量常會偽裝成正常的網路流量,例如使用 HTTP (80)、HTTPS (443) 或 DNS 協定。
7. 目標行動 (Actions on Objectives)
攻擊者目標:達成攻擊的最終目的。這是攻擊者收割成果的階段。
攻擊者行為:
資料竊取 (Data Exfiltration):蒐集內部敏感資料(如客戶個資、財務報表、智慧財產權),並將其打包壓縮後傳回 C2 伺服器。
橫向移動 (Lateral Movement):以受駭主機為跳板,進一步攻擊內部網路的其他主機,擴大控制範圍。
系統破壞:加密檔案(勒索軟體)、刪除資料、癱瘓系統服務。
歲然這個框架是一個非常經典的模型,但是在現在的環境下開始有了一些侷限性,包括整個過程過於線性、偏重傳統防禦界線跟忽略攻擊後期的活動
所以呢我們資安領域發展出了更細緻、更全面的框架,其中最著名的就是 MITRE ATT&CK 框架。ATT&CK 不再強調攻擊的線性順序,而是提供了一個龐大的知識庫,詳細列舉了攻擊者在各個戰術階段(例如:初始存取、橫向移動、資料竊取)可能使用的具體「技術」和「程序」(TTPs),為防禦方提供了更具操作性的指導。
所以明天我們就來探討一下Mitre Att&ck的框架
iThome鐵人賽
看影片追技術