網路攻擊鏈是Lockheed Martin提出的資安攻防架構,旨在協助防禦者識別與阻止駭客入侵行動。Cyber Kill Chain將攻擊者從入侵準備到完成任務的過程劃分為七個明確步驟,並強調只要能在任一階段成功中斷攻擊鏈,便可有效阻止整體攻擊行動的達成。因此,防禦者無須做到「全知全能」,只需專注於每一個階段的偵測與防禦即可大幅提高防護成功率。
核心理念:
- 攻擊者必須完整完成所有階段才能達成行動目標,這是其最大的弱點。
- 防禦者只要能在任一環節阻斷攻擊進程,就能瓦解整體行動。
Cyber Kill Chain
網路攻擊鏈七大階段如下
1. 偵察(Reconnaissance)
- 定義:攻擊者收集目標相關的情報,為後續攻擊做準備。
- 例子:攻擊者針對一家金融公司進行偵察,通過 LinkedIn 搜集高管和 IT 部門員工的姓名、職位和電子郵件地址,並使用 Shodan 掃描公司公開的伺服器,發現一個運行舊版本 Apache 伺服器的 IP 地址,可能存在已知漏洞。
2. 武器化(Weaponization)
- 定義:攻擊者準備攻擊所需的工具或載荷(payload)。
- 例子:攻擊者根據偵察結果,製作一個帶有惡意的 Microsoft Word 文件,嵌入可執行勒索軟體的 VBA 腳本。該文件偽裝成「2025年財務報告」,準備用於釣魚攻擊。
3. 傳遞(Delivery)
- 定義:攻擊者將武器化的載荷傳遞到目標環境。
- 例子:攻擊者發送一封魚叉式釣魚郵件給公司財務部門的員工,郵件主題為「緊急:請審核2025年預算文件」,附件為前面製作的惡意 Word 文件,誘騙收件人打開附件。
4. 利用(Exploitation)
- 定義:攻擊者利用漏洞或用戶行為執行惡意程式碼。
- 例子:財務部門員工打開釣魚郵件中的 Word 文件,觸發嵌入的惡意程式碼,利用 Windows 系統的漏洞(例如 PowerShell 執行環境)下載並運行勒索軟體。
5. 安裝(Installation)
- 定義:攻擊者在目標系統中安裝惡意軟體,確保持久存在。
- 例子:勒索軟體在受感染的系統上安裝一個後門程式(如 Cobalt Strike Beacon),並創建一個 Windows 計劃任務,設定每小時運行一次,確保攻擊者即使系統重啟也能維持控制。
6. 命令與控制(Command and Control, C2)
- 定義:攻擊者建立與受損系統的通信渠道,遠程控制攻擊。
- 例子:後門程式透過 HTTPS 協議與攻擊者控制的 C2 伺服器(位於一個偽裝成合法網站的域名)通信,定期接收指令,例如下載額外惡意軟體或執行數據收集任務。
7. 行動目標(Actions on Objectives)
- 定義:攻擊者執行最終目標,實現攻擊目的。
- 例子:攻擊者利用 C2 通道發送指令,啟動勒索軟體加密受害者系統上的所有關鍵文件(如財務資料和客戶數據庫),並在桌面顯示勒索訊息,要求支付比特幣贖金以換取解密密鑰。
1.Reconnaissance
Adversary Perspective
在偵察階段,攻擊者處於行動規劃的初期,目標是蒐集與目標組織相關的資訊,以利後續攻擊路徑的設計與精準化。他們通常會採取以下行動來識別潛在攻擊面:
- 系統性地收集目標組織的 電子郵件地址,作為釣魚攻擊或帳號暴力破解的對象。
- 透過 社交媒體平台與公開資訊 辨識組織內部的關鍵人員及其職務角色。
- 搜尋並整理公開發佈的 新聞稿、合約公告、業務合作與會議參與名單,以掌握企業動態與合作脈絡。
- 掃描與識別 對外開放的網際網路服務(如Web伺服器、郵件伺服器與VPN入口),針對已知漏洞進行初步評估。
Defender Perspective
偵察行為通常發生於攻擊鏈的最前端,且多數手法利用公開資訊或無害流量進行,因此在該階段即時偵測對手行動極具挑戰性。然而,即便在事後才發現偵察跡象,這些資訊仍可提供有價值的「對手意圖指標(Indicators of Intent)」,以利防禦策略調整。
有效的防禦措施包括:
- 收集與分析網站訪客日誌,建立異常瀏覽行為的偵測基準,並將可疑活動納入警示機制與事件回溯分析。
- 與網站管理團隊合作,整合現有的網站流量監控與瀏覽器行為分析工具,強化對偵察活動的可視性。
- 設計針對偵察行為特徵的行為分析模型,如頻繁訪問特定URL路徑、測試不存在的資源請求等行為。
- 當偵察活動聚焦於特定技術資產或特定人員時,優先強化該資產或人員的防禦措施,如針對性社交工程防護與資產漏洞加固。
2.Weaponization
Adversary Perspective
在武器化階段,攻擊者進入攻擊行動的準備與組裝階段,目標是將惡意程式碼(Malware)與攻擊載體(Exploit)整合為可傳遞給目標的武器化有效載荷(Payload)。現代攻擊行動多以自動化工具進行,不會手動製作惡意檔案,而是利用現成或客製化的「武器化工具(Weaponizer)」來完成。
攻擊者在此階段的典型行動包括:
- 取得武器化工具:可能由攻擊組織內部開發,或透過地下社群、黑市購買現成工具。
- 選擇誘餌文件(Decoy Document):針對檔案型漏洞攻擊,會準備一份與目標情境相關的文件作為誘餌,使受害者降低警覺。
- 挑選後門程式與指揮控制(C2)基礎設施:根據行動需求選擇適合的後門模組與通訊架構(如域名生成演算法DGA、雲端C2通道)。
- 設定任務識別碼(Mission ID):為追蹤與管理行動,會將特定任務代號嵌入惡意程式中,便於C2端識別。
- 編譯後門與武器化有效載荷:將後門與漏洞攻擊模組組裝、封裝為最終發送給目標的攻擊檔案。
Defender Perspective
儘管防禦方無法在攻擊者武器化階段即時偵測到其行動,但透過對攻擊樣本進行深入分析,可以揭露攻擊者所使用的武器化工具與手法,並將其作為長期有效的防禦依據。針對武器化工具的偵測,往往能提供對新攻擊活動(Campaign)與變種Payload的前瞻性防禦能力。
防禦者在此階段應執行的核心任務包括:
- 完整的惡意程式分析:不僅僅分析其釋出的Payload功能,更要回溯其製作流程與組裝方式,辨識所使用的武器化工具與技術。
- 建立針對武器化工具特徵的偵測規則:攻擊者常因便捷性重複利用武器化工具,透過偵測這些工具的特徵,可提早發現新一波攻擊行動,即使Payload變更亦然。
- 分析惡意程式的製作與使用時間軸:比對樣本生成時間與實際攻擊時間差異,可判斷其為「即取即用的現成樣本」或是「針對性製作的定製樣本」,從而推測攻擊行動的成熟度與緊迫性。
- 蒐集檔案樣本與相關中繼數據(Metadata):建立武器化工具樣本庫,供後續威脅獵捕與攻擊鏈分析使用。
- 分析武器化工具與APT行動的關聯性:釐清某些武器化工具是否為特定攻擊組織專屬,或為廣泛流通於地下市場的共用工具,以便更精準地進行攻擊者歸屬分析(Attribution)。
3.Delivery
Adversary Perspective
在傳遞階段,攻擊者已進入行動的啟動期,目標是將武器化的惡意程式傳送至目標系統或用戶端。依據行動需求與目標特性,攻擊者會選擇主動推送或被動引誘的傳遞方式。
典型的傳遞手法可區分為兩大類:
- 攻擊者控制的傳遞方式(Adversary-Controlled Delivery):
- 直接針對目標Web伺服器發動攻擊,如漏洞利用植入Web Shell。
- 攻擊者釋放的傳遞方式(Adversary-Released Delivery):
- 透過 惡意電子郵件 投遞武器化附件或釣魚連結。
- 以 USB隨身碟或其他外接儲存裝置 作為傳遞載體,針對內部網路進行離線攻擊。
- 利用 社交媒體互動(如私訊、假冒帳號)引導受害者執行惡意內容。
- 水坑攻擊(Watering Hole):駭入目標常造訪的合法網站,插入惡意程式碼,等待受害者上鉤。
Defender Perspective
傳遞階段通常是防禦方首次有機會有效阻擋攻擊行動的關鍵節點,能否在此階段阻斷惡意程式進入,對整體防禦成效具有決定性影響。因此,衡量防禦成效時,「有多少攻擊能在傳遞階段被成功攔截」是一項核心指標。
防禦者應執行的關鍵措施包括:
- 分析傳遞媒介與上游基礎設施:瞭解攻擊行動所依賴的傳遞管道(如電子郵件網關、網站CDN、USB管理政策),以建立針對性的防禦與監控策略。
- 盤點受攻擊資產與關鍵人員:明確掌握被針對的伺服器與人員,包含其職責與業務範疇,並評估攻擊者可能企圖獲取的資訊資產。
- 藉由攻擊對象推測攻擊意圖:攻擊者選擇的目標能反映其行動意圖,從中可洞悉潛在的行動目標與策略。
- 活用武器化工具特徵進行攔截:將已知武器化工具(Weaponizer)的行為特徵納入電子郵件與網站過濾機制,即使Payload型態變異亦能有效攔截。
- 分析攻擊行動的時間特性:評估攻擊啟動的時間點,與組織業務運作時序比對,識別潛在內部風險窗口。
- 蒐集並保留電子郵件與網頁存取日誌:即便攻擊行動在後期才被偵測,詳細的傳遞階段紀錄仍能協助防禦方重建攻擊路徑與時間軸,支持事件鑑識與未來防禦策略調整。
4.Exploitation
Adversary Perspective
在漏洞利用階段,攻擊者將觸發目標系統或使用者的弱點,以取得初步入侵的執行權限。此階段標誌著攻擊行動進入實際「入侵」的關鍵轉折點。攻擊者可能利用的弱點範圍廣泛,涵蓋軟體漏洞、硬體缺陷乃至人性弱點(Social Engineering)。
攻擊者在此階段的典型行動包括:
- 針對軟體、硬體或人為弱點進行利用:無論是已知漏洞(Known Vulnerability)、或是尚未公開揭露的零日漏洞(Zero-Day Exploit)。
- 取得或自行開發零日漏洞利用程式:藉此繞過傳統防禦機制,在無防範意識下成功滲透目標系統。
- 針對伺服器型漏洞進行主動觸發攻擊:如遠端代碼執行(RCE)、SQL Injection 等直接對伺服器發動的攻擊手法。
- 誘使受害者觸發用戶端漏洞:
- 透過釣魚郵件引誘受害者開啟帶有惡意巨集或Exploit的附件。
- 引導受害者點擊連結,觸發瀏覽器或外掛程式漏洞(如Flash、PDF Reader等)。
Defender Perspective
在漏洞利用階段,雖然傳統的系統強化措施(如修補管理、權限控管)仍是提升整體韌性的基礎,但針對零日漏洞的攻擊行為,防禦者需具備客製化與行為導向的防護能力,才能有效攔截未知攻擊。
防禦者應著重以下策略:
- 用戶資安意識訓練與社交工程演練:持續對員工進行釣魚郵件測試與社交工程教育,減少受害者主動觸發攻擊鏈的機率。
- 安全程式設計訓練:針對網站開發與內部應用程式團隊進行安全開發(Secure Coding)教育,降低新漏洞被植入的風險。
- 定期進行漏洞掃描與滲透測試:藉由持續性弱點評估,提升對已知漏洞的修補與防護速度,縮短攻擊窗口。
- 終端設備強化措施(Endpoint Hardening):
- 最小權限原則(Least Privilege):限制使用者與程式的管理員權限,降低攻擊者橫向移動與權限提升的機會。
- 部署 Microsoft EMET(Enhanced Mitigation Experience Toolkit):透過記憶體防護機制加強對漏洞利用技術(如ROP、Heap Spray)的防禦。
- 制定客製化終端防護規則:針對Shellcode執行行為進行阻擋與隔離。
- 導入終端行為稽核(Process Auditing):當攻擊成功觸發漏洞時,能即時記錄並還原攻擊來源與行為軌跡,支援事後鑑識分析。
5.Installation
Adversary Perspective
在安裝階段,攻擊者的目標是於受害者環境中建立長期的存取點,確保能在不中斷的情況下持續與受害系統維持連線,進行後續的橫向移動或數據竊取行動。為達成持續性滲透(Persistence),攻擊者會植入後門程式或惡意模組,並於系統內隱蔽其存在。
攻擊者在此階段常見的行動手法包括:
- 在目標Web伺服器上植入Web Shell:提供攻擊者遠端指令執行與文件上傳下載的操作介面。
- 於用戶端設備安裝後門或惡意植入程式(Implant):確保系統重啟後仍能自動啟動並與C2伺服器維持連線。
- 建立持久性存取點(Persistence Mechanism):
- 修改Windows登錄檔中的AutoRun Key。
- 設定惡意服務(Windows Service)。
- 注入系統排程(Task Scheduler)。
- 時間戳偽造(Time Stomping):將惡意程式的檔案時間屬性修改為系統安裝日期或合法程式時間,藉此混淆鑑識分析人員的判讀。
Defender Perspective
安裝階段是攻擊者從一次性滲透行動轉為長期入侵駐點的關鍵節點,若能在此階段即時偵測並阻斷惡意程式的安裝與持久性設定,將大幅降低攻擊者後續橫向移動與數據竊取的風險。
防禦者應於此階段落實以下偵測與防護措施:
- 終端偵測與記錄安裝行為(Endpoint Instrumentation):強化對系統異常檔案創建、服務新增、登錄檔變更的即時監控與告警。
- 將惡意程式的安裝行為納入惡意程式分析流程:透過樣本動態分析(Sandbox)與逆向工程,歸納攻擊者安裝手法與特徵,並轉化為可落地的防護規則。
- 主機入侵防護系統(HIPS)配置針對安裝路徑的偵測規則:
- 監控與封鎖常見的惡意安裝目錄(如RECYCLER、Temp等)。
- 權限需求評估:確認惡意程式是否需仰賴系統管理員權限,或僅以一般使用者權限即可實現安裝與執行,針對權限最小化策略進行調整。
- 終端行為稽核(Process Auditing):
- 定期檢視系統內異常檔案創建行為與可疑程序活動。
- 鎖定不明檔案於系統敏感路徑出現的情況。
- 數位簽章驗證與分析:針對可執行檔進行簽章驗證,辨識駭客可能濫用的合法簽章或自簽憑證。
- 樣本編譯時間分析:將惡意樣本的編譯時間納入攻擊活動時間軸比對,以偵測「現成惡意工具」或「針對性製作樣本」之差異性,進一步研判攻擊行動性質與成熟度。
6.Command & Control(C2)
Adversary Perspective
在指揮與控制(C2)階段,攻擊者將透過受感染系統建立遠端控制通道,以便持續對受害者環境進行操控與資料竊取。成功的C2連線能讓攻擊者從遠端下達指令、提取機密資訊、或進行進一步橫向移動與破壞行為。
攻擊者於此階段的典型行動包括:
- 建立雙向通訊通道至C2基礎設施:確保受害主機能夠與攻擊者伺服器進行命令與數據的即時互動。
- 利用常見通訊協定作為C2通道:
- HTTP/HTTPS:偽裝為正常的Web流量,繞過大部分網路邊界防護設備。
- DNS通道(DNS Tunneling):透過DNS查詢封裝C2指令與數據,藉此繞過傳統防火牆與代理伺服器。
- 電子郵件協定:以Email作為C2指令的投遞與接收載體,降低被即時偵測的風險。
- C2基礎設施可能為攻擊者自有資源,亦可能藉由入侵其他受害者網路作為跳板,提升隱匿性與追蹤困難度。
Defender Perspective
指揮與控制階段往往是防禦方最後一個能有效攔截攻擊行動的關鍵環節。若能成功阻斷C2通道,即便受害系統已被入侵,也能防止攻擊者進一步下達指令或竊取資料,將損害影響降至最低。
防禦者在此階段應採取以下策略:
- 透過惡意程式分析揭露C2基礎設施資訊:包括C2伺服器IP、域名、通訊協定與行為特徵,並將其納入網路防護策略。
- 強化網路邊界控管(Network Hardening):
- 整併對外連線出口(Point of Presence, PoP)數量,集中流量監控與異常行為分析能力。
- 強制所有對外流量(包含HTTP與DNS)必須經由Proxy或防火牆轉送,杜絕未經授權的直接連線。
- 針對C2協定特徵制定自訂封鎖規則,例如異常HTTP User-Agent、DNS封包異常長度等行為特徵。
- 透過Proxy進行類別型阻擋(Category Block),封鎖「未分類」或「風險未知」的網域流量。
- 部署DNS Sinkhole與Name Server Poisoning技術,將惡意C2網域導向內部控制的假目標伺服器,進行監控與隔離。
- 持續進行開源情報(OSINT)研究:主動追蹤與更新已知或新興的C2基礎設施資訊,將攻擊者的基礎設施納入威脅情報資料庫,提升防護的即時性與準確度。
7.Actions on Objectives
Adversary Perspective
當攻擊者成功取得對受害環境的「實際操作權限」(Hands-on-Keyboard Access)後,便會進入實現其行動目標的階段。這一階段的行動方式與範圍,取決於背後的攻擊意圖,無論是資料竊取、破壞、勒索,或是長期潛伏滲透,攻擊者都將藉由各種內部操作達成任務目的。
攻擊者在此階段的常見行動包括:
- 收集使用者憑證:透過記憶體讀取、憑證傾倒(Credential Dumping)等方式取得更多帳號資訊。
- 權限提升(Privilege Escalation):利用系統漏洞或弱點,從一般使用者權限提升至系統管理員(root/administrator)層級。
- 內部偵察(Internal Reconnaissance):針對企業內網資源進行探索,盤點可滲透資產與敏感資料儲存位置。
- 橫向移動(Lateral Movement):從初步入侵點橫向擴散至其他終端設備與伺服器。
- 資料蒐集與外洩(Exfiltration):將機密資料打包並透過隱匿通道傳送至外部C2伺服器。
- 系統破壞與服務中斷(Destruction):例如刪除關鍵系統檔案、加密檔案進行勒索。
- 資料篡改或隱匿性修改(Data Manipulation):不破壞資料表面可讀性,但暗中修改數據內容,造成業務營運或決策偏差。
Defender Perspective
目標行動階段是攻擊鏈中攻擊者實質造成破壞與損害的階段。攻擊者在系統內部停留時間越長,對企業造成的影響與恢復成本就越大。因此,防禦者必須運用鑑識證據與即時偵測能力,在最短時間內識別並制止攻擊行動的進一步擴散與破壞。
防禦者在此階段應採取的行動包括:
- 建立標準化事件應變手冊(Incident Response Playbook):
- 規劃包含高階主管參與的溝通與決策機制。
- 明確定義在不同攻擊情境下的應對流程與指揮系統。
- 即時偵測與回應下列攻擊行為:
- 橫向移動(Lateral Movement)跡象。
- 資料外洩(Data Exfiltration)行為。
- 非授權憑證使用與異常登入行為。
- 建立CKC第七階段(Actions on Objectives)警示即時反應機制:
- 針對此階段特徵建立高優先權警報,確保事件分析人員第一時間介入調查。
- 預先部署終端鑑識代理程式(Forensic Agents):
- 於重要資產上安裝鑑識代理,便於事件發生時快速提取證據並執行隔離與調查作業。
- 實施網路封包擷取(Network Packet Capture):
- 紀錄與還原攻擊過程中的網路行為,協助事後分析攻擊手法與資料流向。
- 與專家合作進行損害評估(Damage Assessment):
- 動員內部與外部專家團隊,全面盤點攻擊所造成的業務、資安與法規遵循層面的損失,並提出修復計畫。