What is The Cyber Kill Chain?

  • 一般的 Cyber Kill Chain (資安攻擊鏈) 會有幾個核心的階段,所有常見的攻擊向量都會引發攻擊鏈中的其中一環
  • Kill Chain 這個概念類似軍事的模型,主要定義資安攻擊的步驟,最初的定義是在2011年的時候出現,而後便有許許多多的版本陸續出現
  • 整個攻擊鏈大概有下列幾個階段(無論內部或外部攻擊):
    • Reconnaissance
      • 監控階段:攻擊者通常會由外而內的評估狀況,為了釐清攻擊的目標跟策略
      • 蒐集、辨識、選擇目標等等是這個階段主要目的
    • Weaponization
      • 在這個階段,會將惡意程式碼傳送到系統以創造讓攻擊者更好操作的平台環境
      • 配合遠端訪問的惡意程式來開發能夠進行傳送功能惡意程式碼
    • Delivery
      • 將所需的工具(武器)傳送到目標上
    • Exploitation
      • 一但完成傳送後便會引發武器的程式碼,近一步的挖掘有漏洞的應用程式或系統
      • 如此能夠取得更多跳板 (更高的權限、更多的資料、更好進到系統的途徑)
    • Installation
      • 武器會安裝後門在目標程式,如此能夠允許日後持續的訪問
    • Command & Control
      • 在 server 外的通訊會由武器提供“實際操作訪問”來進到目標的網路
    • Actions on Objective
      • 攻擊者於此階段已經達到入侵的目的,其中包括滲透出資料、破壞資料、入侵其他目標等

7 Phases of The Cyber Kill Chain

  • 其實每個攻擊鏈的階段都是阻擋攻擊的機會,只要用對方法來辨識個階段的行爲便能抵擋
  • 攻擊鏈中的各種攻擊方法可以從 MITRE ATT&CK 找到,其中也許會發現整個攻擊鏈些許不同,但大方向上都是相同的

Reconnaissance (偵查)

  • 攻擊者會在實際攻擊開始前先蒐集目標的資訊,通常會從一些網站開始搜尋,比如 LinkedIn、Instagram 等等
  • 這時也會利用一些技術來蒐集情資,比如 calling employees、email interaction、dumpster diving (垃圾搜尋)
  • 此階段的攻擊便能理解到安全意識的重要,有認知的便會意識到他們已經被當作目標,並進一步將攻擊者限制在外
    • 在電話上透露機暪資訊前驗證對方身份
  • 這樣雖然不能完全抵擋整個攻擊,但卻能有效的讓攻擊者在情資搜集上加大難度

Weaponization (武裝)

  • 攻擊者不會馬上對目標進行動作,取而代之的是去創造攻擊
    • 比如創造受感染的 Microsoft Office 文件,配合針對性的釣魚郵件
    • 又比如創造一個新類型且能自我繁殖的惡意程式,並透過USB隨身碟來傳播
  • 主要針對特定的安全漏洞來製作武器 (或者說是惡意程式、木馬程式),步驟大概有幾個:
    • 設計遠端存取的木馬程式
    • 包裹在可傳遞的資料中,大多數以自動化工具產生
    • 利用最常見的資料檔案進行偽裝 (比如PDF或DOC)
  • 此時期有非常少的安全控管能夠影響或使之失效,除非攻擊者正在做一些限制性的測試

Delivery (遞送)

  • 將攻擊傳到目標的系統上
    • 比如送真實的釣魚郵件
    • 又比如在當地的咖啡廳散播受感染的USB隨身碟
    • 也有以網站漏洞作為傳遞的管道
  • 人類在此階段扮演的關鍵角色,因為大部分的人對於記大量新資訊上不在行,很容易受到習慣控制
    • 直覺的隨著“這看起來怪怪的”
  • 在過去有人指出兩個主要的攻擊向量都包含人,也就是說比起系統,人類的安全思維是更需要進行改善的

Exploitation (攻擊)

  • 這階段暗示實際「引爆」攻擊,也就是開始利用系統上的漏洞
  • 主要將武器遞送到目標機器後來觸發內部的程式碼,進而以應用程式或作業系統的安全弱點為目標攻擊
  • 如果想要避免的話則是讓系統跑更新,確認防毒軟體的運作、確認機敏資料是在安全的系統上運作

Installation (安裝)

  • 攻擊者會安裝惡意程式在目標上 (並非所有攻擊都需要惡意程式)
    • 如此能夠讓攻擊者繼續隱藏在目標的環境中
  • 預防這個攻擊階段的方式如同前一個階段,基本上確認防毒軟體的運行就能有效的抵擋大部分惡意程式的安裝

Command & Control (發令與控制)

  • 到此一階段表示系統已經遭到損害、感染,系統會開始呼叫 C&C 系統 (簡稱 C2 系統) 來讓攻擊者新增控制權
  • 一般APT攻擊經常需要手動控制,目標主機必須要向外連結網路上的控制伺服器建立 C2 通道
    • 攻擊者可透過此通道操控目標主機

Actions on Objective (採取行動)

  • 只要攻擊者建立訪問,便能夠進一步執行動作,並達成他們的目標。
    • 比如竊取資料、破壞資料的完整性與可用性、作為入侵其他系統的跳板
  • 動機根據威脅動作有很大的差異,其中可能包括政治、經濟、軍事等等,故很難定義哪些動作屬於哪些動機

References:

  1. Applying Security Awareness to the Cyber Kill Chain
  2. 什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)?
  • Copyrights © 2019-2021 NIghTcAt

請我喝杯咖啡吧~