Cyber Kill Chain 中的第五與第六個階段

Installation

這個階段關鍵在於持久性，攻擊者會在目標主機或環境內安裝惡意程式或建立持久性機制，使他們可以在初始入侵之後長期保有存取權，即便被短暫移除也能重新回來。

目的與手法:

• 建立persistence，避免失去已取得的入口。
• 為後續的橫向移動、權限提升與資料外洩鋪路。
• 讓攻擊者能在合適時機再投放更多惡意程式或執行任務。

通常會用一些手法如:

• Web shell
• 合法工具進行無檔案攻擊(如Powershell)
• BackDoor(meterpreter)
• 建立或修改 Windows 服務
• 在Registry的run keys或Startup Folder中新增啟動項目。
• 也會使用TimeStomping這類型技術來修改時間戳記讓他看起來與其他程式一樣

C2

攻擊者與已被入侵的系統或網路之間建立通訊的階段。

C2讓攻擊者能夠維持對系統的控制、下達指令，並從被入侵的系統中接收資料。

也可能進行橫向移動，以避開偵測並建立更多的入侵點

常見的C2通道與技術有:

• HTTP/HTTPS（混入正常流量、易於繞過防火牆）
• DNS（DNS tunneling / 隧道）
• P2P、Proxy、加密管道、動態 DNS
• 非標準埠或協定隧道（protocol tunneling）

其中有三中不同的架構 :

• Centralized：常見的客戶端/伺服器情境，所有受害端與單一惡意主機通訊。
• Peer-to-peer：每台被感染的機器彼此通訊；通常當中央伺服器失效時作為備案。
• Random：受感染機器由一群隨機惡意主機去 ping，這種方式相當難以偵測。

而以上技術能帶來的傷害有:

• 破壞資料傳輸通道
• 啟用橫向移動
• 提升權限
• 資料外洩與蒐集資訊

這階段出現時會有的徵兆:

• 異常外向連線（頻繁、規律或到可疑域名/IP）。
• 怪異的加密流量或出現非典型的端口/協定使用。
• 多台主機對相同外部域名或 IP 有相似的查詢/連線模式。