Cyber Kill Chain 中的第三與第四階段

Delivery

攻擊者會決定要透過何種方式將Payload傳送到目標。

可以透過多種方式發生如:

• 釣魚電子郵件
  • 向特定對象或依公司內多名人員投放，內容通常會包含一個連結或附件。
• USB
  • 就是透過實體USB來操作
• Watering Hole Attacks
  • 針對特定群體的攻擊方式
  • 攻擊者會入侵受害者常造訪的網站，並將他們重新導向至一個由攻擊者設計或控制的惡意網站。
  • 受害者會在無意間下載惡意軟體或應用程式，也就造成Drive-By Download

此階段對攻擊能否繼續至關重要，因為涉及到是否能將惡意Payload執行

Exploitation

攻擊者會利用在偵察階段發現的漏洞來執行先前傳送的Payload

這其中可能包括利用軟體漏洞、錯誤的系統設定或人為失誤來達成

目標是取得系統的控制權，通常會有以下方式:

• 惡意巨集:
  • 透過前一階段Delivery手法中的釣魚郵件來執行
  • 當受害者開啟郵件內的附件時，會自動執行可能如勒鎖軟體或其他類型的惡意程式
• 零日攻擊
  • 這類型的會利用某些系統中尚未公開的未修復漏洞或未知漏洞來進行攻擊
  • 在攻擊初期幾乎無法被偵測
• CVE
  • 這類型的會利用某些系統中已知的漏洞來進行攻擊
  • 鎖定目標通常為擁有該軟體但仍還在會被攻擊的版本的單位

在成功入侵系統後，攻擊者可能會進一步利用軟體、系統或伺服器層級的漏洞來提升權限或在網路中橫向移動

Exploitation階段的徵兆包括：

• 非預期的程序被啟動
• Registry被更改
• 新增了可疑的系統服務
• 系統日誌中出現可疑的命令列參數