Cyber Kill Chain為Lockheed Martin發展出的framework, 用於解釋APT攻擊,並且探討如何打破Kill chain進行。
該文為 Breaking The Kill Chain: A Defensive Approach 的筆記與補充
何謂APT攻擊
三個部份
- 進階 (Advanced): 一個攻擊有爭對性、目標性、有組織性
- 持續 (Persistent): 持續數年數月
- 威脅 (Threat): 有意圖、機會、有能力
- 攻擊產生的價值導致意圖
- 系統中的漏洞多難利用,攻擊者需要多少能力
- 攻擊者能夠找到多少可攻擊的面向,提供了機會
Cyber Kill Chain
- Reconnaissance 偵查並找出弱點
- 間接式偵查: Google Hacking, whois…
- 主動式偵查: 透過間接式偵查的資訊,
透過各種工具(
nmap、漏洞掃描器等)
- Weaponization 一旦攻擊者找出弱點,便可將弱點武器化
- Delivery: 試圖將武器運送到目標
- 網頁, 社群媒體, 使用者輸入, 電子郵件, USB
- Exploitation: 武器(如惡意程式)成功運送給目標之後, 嘗試獲得存取權
- Installation: 提昇權限
- DLL 劫持, msfconsole, RAT(遠程存取工具), 修改註冊表
- Command and Control
- Action on Objectives
打斷APT
研究Kill Chain的各個部份,並且試圖打破Kill Chain的進行。
根據NIST CSF五項1中的四項
- Protect: 保護
- Detect: 偵測
- Respond: 反應
- Recover: 復原
各階段的保護
- Reconnaissance:
- 被動: 限制與刪除公開資訊存取等
- 主動: 關閉未使用的服務,蜜罐誘騙攻擊等
- Weaponization:
- 管理方面: 透過補丁使漏洞失效,並且管理補丁, 禁用功能,使尚未修復的地方能夠避免攻擊。
- 技術方面: IPS, 防毒(AV), email security, MFA(多重要素認證), audit log等
- Delivery:
- 員工: 資安概念進行訓練,避免釣魚, 禁止USB
- 技術層面: IPS/IDS, 過濾網頁, SPF, 避免給予系統權限
- Exploitation:
- 保護機制: DEP, Anti-Exploit
- 偵測: 透過沙箱執行未知程式,分析行為並避免惡意行為
- Installation:
- 保護: linux可以透過Chroot, 禁用PowerShell
- 偵測: UBA (User-Behavior Analytics)/EDR (Endpoint Detection and Respons)偵測任何未授權的更改
- 反應: 如果偵測到未授權的修改,紀錄log並且發出警報
- 還原
- Command and Control: 隔離->保護->偵測(透過IOC)
- Action on Objectives
- 過濾資料輸出: 防止資料外洩
- 橫向移動: 攻擊者會偵查內部網路
零信任
- 對任何用戶不信任
MITRE ATT&CK
MITRE的ATT&CK基於Kill Chain模型上,並更仔細劃分 各種策略階段,也作為知識庫使用。
PRE-ATT&CK 為:2
- Recon
- Weaponize
- Deliver
ATT&CK for Enterprise 為 PRE-ATT&CK 之後的 Attack Lifecycle2
- Exploit
- Control
- Execute
- Maintain
kill chain 狀態
- 入侵前
- Reconnaissance
- Weaponization
- Delivery 完成後進入入侵中狀態
- 入侵前可以透過各種資安解決進行緩解
- 入侵中
- Exploitation
- Installation 完成之後進入入侵後狀態
- 入侵後
- Command and Control
- Action on Objectives
- 入侵後透過威脅獵捕 (Threat Hunting) 緩解 APT 攻擊
參考
- Cyber Kill Chain
- MITRE ATT&CK
Pentest APT