cyber kill chain中的第二階段:武器化

目標是利用前一階段所獲得的訊息來製作相對應能進行攻擊的武器，以獲得該主機或伺服器的控制。

常見的有檔案類(Word, PDF等)與Payload類(或腳本之類的)。

常用於Windows系統下的武器化

由於大部分行業所用的多為Windows系統，因此攻擊者可以利用此資訊製作在Windows系統上可以執行的腳本，如:

• VBA(Virtual Basic for Application)
  • 微軟為 Microsoft Word、Excel、PowerPoint等應用程式所實作的程式語言。
  • 可以自動化幾乎所有使用者與 Microsoft Office 應用程式之間的鍵盤與滑鼠的工作
  • 裡面的巨集(Marco)就是用VBA所寫的，因此能利用來撰寫開啟或執行某動作或程式的自動化腳本。
• PowerShell
  • 由 .NET 中的動態語言執行環境執行
  • 紅隊在執行各種活動時會依賴PowerShell，此工具能協助他們去完成initial access或是system enumeration等工作
• Windows Script Host:Windows
  • 內建的管理工具，可執行批次檔以自動化和管理作業系統內的工作
  • 包含 cscript.exe（用於命令列腳本）與 wscript.exe（用於有介面的腳本）
  • 執行各種 VBScript，包含 .vbs 與 .vbe
  • Windows 作業系統上的 VBScript 引擎會以與一般使用者相同的存取權與權限來執行應用程式

其餘準備

• C2框架:是post-exploitation中重要的一環，允許攻擊者或紅隊控制已被入侵的機器，被視為在進行網路攻擊中最重要的工具之一
• C2框架提供快速且直接的方法來：
  • 產生各種惡意payload
  • 列舉已被入侵的機器／網路
  • 執行權限提升
  • 橫向移動

常見的框架

• Cobalt Strike
  • 一套商業框架
  • 專注於對抗方模擬與紅隊作業
  • 整合各種遠端存取工具。
  • 提供具進階技術的隱匿通訊以執行如鍵盤記錄、檔案上傳/下載、部署 VPN、權限提升技術、端口掃描，以及複雜的橫向移動等操作
• Metaspolit
  • 最常被廣泛利用的框架
  • 提供提供多種技術與工具以簡化駭客活動
  • 開源
• PowerShell Empire
  • 聚焦於 Windows 與 Active Directory 環境的用戶端的Post-Exploitation。
  • 協助紅隊透過金鑰與共用密碼在多台伺服器間操作。
  • 開源