一、Kill Chain Overview
The kill chain is broken down into seven phases:
Reconnaissance[侦察]
Weaponization[武器化]
Delivery[交货]
Exploitation[开发]
Installation[安装]
Command-and-control[命令与控制]
Actions on objectives[目标行动]
二、各部分详解:
Reconnaissance[侦察]
侦察是情报收集。在侦察阶段,威胁参与者试图确定潜在的目标网络是否值得付出努力。在网络外部,威胁参与者检查有关组织和面向公众的网络资产的可用信息和资源。公司网站,新闻文章和社交媒体可用于制定潜在目标或网络渗透向量列表。
选择潜在目标是因为它们被认为是相对不受保护的,无人防备的或被忽视的目标,它们持有与组织有关的重要数据和信息。威胁行为者审查所有类型的信息,对这些行为者来说最有价值的信息可能会令人惊讶。在使用kill链来帮助保护网络基础设施时,需要考虑许多关键的侦察问题。
要确定一个组织是否比公开更多地公开披露信息,请考虑以下几点:
哪些员工姓名和联系信息可用?
超越传统的电子邮件地址和别名; 相反,请查看组织网站之外的社交媒体网络。员工的电子角色(e-persona)可以揭示许多有用的信息,例如公司组织角色和管理结构。
是否可以将任何公共信息用于社会工程攻击或针对某个员工的具体目标?
该组织在线上有哪些前瞻性服务器或其他关键系统?
这些系统是否有脆弱点让威胁演员缩小潜在攻击目标的名单?
例如可以使用:
CentralOps.net来查询域名相关信息
Weaponization[武器化]
武器化阶段的目标是开发基于侦察信息的网络武器,目标系统在部署时具有预先确定的目标。武器的设计者根据侦察过程中发现的目标的脆弱性来决定要开发的具体漏洞。
网络武器的例子包括:
病毒
代码注入
电子邮件或网上诱骗活动
利用系统漏洞
该图显示了一个称为Metasploit的工具示例屏幕。注意已经内置的可用漏洞数量。Metasploit可用于查找安全问题,以便组织可以采取措施保护系统和网络。它也可以被威胁演员用于侦察和武器交付。
Delivery[交货]
传递是通过通信向量将有效载荷传输到目标[安装恶意代码]。传播可以采取多种形式,大多数传播技术都是针对目标个人或系统的。
交付可以通过以下一些方法完成:
电子邮件附件
钓鱼电子邮件
指导个人访问网站
USB设备
Exploitation[开发]
开发阶段描述了恶意代码执行后会发生什么。威胁演员通常利用或瞄准防御姿势中的三个关键弱点之一。
三个典型的弱点是:
应用
操作系统漏洞
用户
Installation[安装]
安装阶段(也称为持续阶段)描述了威胁发生者为了在目标系统上建立后门所采取的行动,它允许威胁行为者持续和持续地访问目标。持续访问通常为威胁行为者提供一种随时访问系统的方式,而不会提醒系统用户或网络维护者。通过对目标的访问,威胁发起者可以在长时间内针对目标主机,个人或网络创建成功的操作。
Command-and-control[命令与控制]
CnC是当被利用的主机信标出站或出网络到基于互联网的控制器以建立通信信道时。APT恶意软件和大多数其他形式的植入物需要与目标人工交互,以开始网络内部的数据泄露或其他侦察行动。一旦CnC与被利用的目标建立起来,威胁参与者就可以访问目标系统,并最终访问整个网络本身。CnC通道允许威胁者向安装在目标或多个目标上的恶意软件发出命令。
Actions on objectives[目标行动]
目标阶段的行动描述了威胁行为者采取的客观依赖行动。这些目标可能包括知识产权盗窃,企业数据盗窃,垃圾邮件带宽盗窃以及分布式DoS流量,或将目标机器用作僵尸网络的一部分以快速生成数字货币,这是黑客实现其最终目标的地方。