【TryHackMe翻译】Cyber Kill Chain（网络杀伤链）

最新推荐文章于 2025-08-08 09:16:15 发布

TheBlackHoleLab

最新推荐文章于 2025-08-08 09:16:15 发布

阅读量172

点赞数

CC 4.0 BY-SA版权

分类专栏： TryHackMe 文章标签：网络安全 tryhackme 学习

原文链接：https://tryhackme.com/room/cyberkillchainzmt

TryHackMe 专栏收录该内容

18 篇文章

订阅专栏

Cyber Kill Chain

1. 介绍

在这里插入图片描述
“杀伤链”是一个与攻击结构相关的军事概念，它包括目标识别、做出攻击目标的决策并下达命令，以及最终摧毁目标。

感谢全球安全与航空航天公司洛克希德·马丁公司（Lockheed Martin），该公司于2011年基于军事概念为网络安全行业建立了网络杀伤链（Cyber Kill Chain®）框架。该框架定义了网络空间中对手或恶意行为者所使用的步骤。要取得成功，对手需要经历杀伤链的所有阶段。我们将介绍攻击阶段，帮助您更好地了解对手及其在攻击中使用的手段，以便进行防御。

那么，了解网络杀伤链的工作原理为什么很重要呢？

网络杀伤链将帮助您理解和防范勒索软件攻击、安全漏洞以及高级持续性威胁（APT）。您可以使用网络杀伤链来评估您网络和系统的安全性，通过识别缺失的安全控制措施并根据您公司的基础设施弥补某些安全漏洞。

作为SOC分析师、安全研究员、威胁猎手或事件响应者，通过了解杀伤链，您将能够识别入侵尝试，并理解入侵者的意图和目标。

在本课程中，我们将探讨以下攻击阶段：

侦察（Reconnaissance）
武器化（Weaponization）
投递（Delivery）
利用（Exploitation）
安装（Installation）
命令与控制（Command & Control）
目标行动（Actions on Objectives）

学习目标：在本课程中，您将了解网络杀伤链框架的每个阶段，以及传统网络杀伤链的优势和劣势。

成果：因此，您将能够识别对手实施攻击的不同阶段或阶段，并能够打破“杀伤链”。

2. 情报收集

在这里插入图片描述

要从攻击者的角度了解什么是侦察（Reconnaissance），我们首先需要定义这个术语。

侦察是指发现并收集有关系统和受害者的相关信息。侦察阶段是对手的计划阶段。

**开源情报（OSINT）**也属于侦察的范畴。OSINT是攻击者需要完成的第一步，以便进一步执行攻击的后续阶段。攻击者需要通过收集公司及其员工的每一条可用信息来研究受害者，例如公司的规模、电子邮件地址、电话号码等，这些信息可以从公开的资源中获取，以确定攻击的最佳目标。

您还可以通过Varonis的文章《什么是OSINT？》了解更多关于OSINT的信息。

让我们从攻击者的角度来审视这个问题，假设攻击者最初并不知道自己要攻击哪家公司。

场景：一个自称为“Megatron”的恶意攻击者决定发动一场他多年来一直在策划的极其复杂的攻击；他一直在研究和探索各种可以帮助他到达网络攻击链最后阶段的工具和技术。但首先，他需要从侦察阶段开始。

要在这一阶段运作，攻击者需要进行OSINT。让我们来看看电子邮件收集（Email Harvesting）。

电子邮件收集是从公开的、付费的或免费的服务中获取电子邮件地址的过程。攻击者可以利用电子邮件收集来进行网络钓鱼攻击（一种用于窃取敏感数据的社会工程学攻击，包括登录凭据和信用卡号码）。攻击者将拥有大量用于侦察目的的工具。以下是一些工具：

theHarvester：除了收集电子邮件外，该工具还可以利用多个公开数据源收集名字、子域名、IP地址和URL。
Hunter.io：这是一个电子邮件收集工具，可以让你获取与特定域名相关的联系信息。
OSINT框架：OSINT框架提供基于不同类别的OSINT工具集合。

攻击者还会使用社交媒体网站，如领英（LinkedIn）、脸书（Facebook）、推特（Twitter）和Instagram，来收集他想要攻击的特定受害者或公司的信息。在社交媒体上找到的信息对于攻击者进行网络钓鱼攻击可能非常有用。

问答时间

用于开源情报的常见工具和资源的基于网络的界面的名称是什么？OSINT Framework
在侦察阶段，电子邮件收集过程的定义是什么？Email Harvesting

3. 武器化

在这里插入图片描述

在成功完成侦察阶段后，“Megatron”将着手打造“毁灭武器”。他倾向于不直接与受害者互动，而是会创建一个“武器化工具”，根据洛克希德·马丁公司的说法，这种工具将恶意软件和漏洞利用结合成一个可交付的有效载荷。大多数攻击者通常会使用自动化工具来生成恶意软件，或者在暗网（DarkWeb）上购买恶意软件。更复杂的攻击者或由国家支持的高级持续性威胁（APT）组织会编写自定义恶意软件，以使恶意软件样本独一无二，从而在目标系统上逃避检测。

在分析武器化阶段之前，我们先定义一些术语。

恶意软件（Malware）：是一种旨在对计算机造成损害、干扰或未经授权访问的程序或软件。
漏洞利用（Exploit）：是一个程序或代码，利用应用程序或系统中的漏洞或缺陷。
有效载荷（Payload）：是攻击者在系统上运行的恶意代码。

回到我们的对手“Megatron”，他选择……

“Megatron”选择从暗网上的其他人那里购买已经编写好的有效载荷，这样他就可以花更多时间在其他阶段上。

在武器化阶段，攻击者会：

创建一个包含恶意宏或VBA（Visual Basic for Applications，可视化基础应用程序）脚本的受感染的Microsoft Office文档。如果您想了解宏和VBA，请参考TrustedSec的文章《脚本新手的宏和VBA入门》。
攻击者可以创建一个恶意有效载荷或非常复杂的蠕虫，将其植入USB驱动器，然后在公共场所分发。这是一个病毒的例子。
攻击者会选择命令与控制（C2）技术来在受害者的机器上执行命令或交付更多有效载荷。您可以在MITRE ATT&CK上了解更多关于C2技术的信息。
攻击者会选择一个后门植入（访问计算机系统的方式，包括绕过安全机制）。

问答时间
这个术语指的是执行特定任务的一组命令。你可以将它们视为包含大多数用户用来自动化常规任务的代码的子例程或函数。但恶意行为者倾向于将它们用于恶意目的，并将它们包含在Microsoft Office文档中。你能提供这个术语吗？Macro

4. 投递

在这里插入图片描述
投递阶段是“Megatron”决定选择传输有效载荷或恶意软件的方法的时候。他有很多选择：

网络钓鱼邮件：在完成侦察并确定攻击目标后，恶意行为者会制作一封恶意邮件，目标可能是公司中的特定人员（鱼叉式网络钓鱼攻击）或多人。邮件中会包含有效载荷或恶意软件。例如，“Megatron”发现公司A销售部门的南希（Nancy）经常点赞公司B服务交付经理斯科特（Scott）在领英上的帖子。他推测他们可能通过工作邮件进行交流。“Megatron”会利用斯科特的名字和姓氏制作一封看起来与斯科特所在公司域名相似的邮件，然后向南希发送一封伪造的“发票”邮件，其中包含有效载荷。
在公共场所分发受感染的USB驱动器：攻击者可能会在咖啡店、停车场或街头等公共场所分发受感染的USB驱动器。攻击者可能会进行复杂的USB丢弃攻击，通过在USB驱动器上印上公司的标志，并伪装成客户将它们邮寄给公司，声称是作为礼物发送的USB设备。您可以在CSO Online上阅读关于这种类似攻击的报道：“网络犯罪团伙向目标公司邮寄恶意USB设备”。
水坑攻击：水坑攻击是一种针对特定人群的攻击，通过入侵他们经常访问的网站，然后将他们重定向到攻击者选择的恶意网站。攻击者会寻找网站的已知漏洞并尝试利用它。为了使攻击更有效，攻击者会通过发送“无害”的电子邮件，指出恶意URL，鼓励受害者访问该网站。访问该网站后，受害者会在不知不觉中将恶意软件或恶意应用程序下载到他们的计算机上。这种类型的攻击被称为“路过式下载”（drive-by download）。例如，一个恶意弹出窗口可能会提示用户下载一个虚假的浏览器扩展。

问答时间
当攻击针对特定人群，并且攻击者试图感染该人群经常访问的网站时，这种攻击的名称是什么？Watering Hole Attack

5. 利用

在这里插入图片描述

为了获得系统的访问权限，攻击者需要利用漏洞。在这个阶段，“Megatron”发挥了一点创造力——他创建了两封网络钓鱼邮件，一封包含指向伪造Office 365登录页面的网络钓鱼链接，另一封包含一个宏附件，当受害者打开它时会执行勒索软件。“Megatron”成功地投递了他的漏洞利用工具，并让两名受害者点击了恶意链接并打开了恶意文件。

在获得系统访问权限后，恶意行为者可能会利用软件、系统或服务器上的漏洞来提升权限或在网络中横向移动。根据CrowdStrike的说法，横向移动是指恶意行为者在获得对受害者机器的初始访问权限后，用来深入网络以获取敏感数据的技术。

如果你想了解更多关于基于服务器或基于网络的漏洞，请参考TryHackMe的OWASP Top 10房间。

攻击者也可能在这个阶段使用“零日漏洞利用”。根据FireEye的说法，“零日漏洞利用或零日漏洞是一种在野外未知的漏洞利用，它暴露了软件或硬件中的漏洞，并且可能在任何人意识到出错之前就造成复杂的问题。零日漏洞利用在一开始没有任何被检测到的机会。”

以下是攻击者实施利用的一些例子：

受害者通过打开电子邮件附件或点击恶意链接触发漏洞利用。
使用零日漏洞利用。
利用软件、硬件甚至人类的漏洞。
攻击者触发针对服务器漏洞的漏洞利用。

问答时间
你能提供一个针对软件漏洞的网络攻击的名称吗？这种漏洞是防病毒软件或软件供应商未知的。Zero-day

6. 安装

在这里插入图片描述
正如你在“武器化”阶段学到的，后门可以让攻击者绕过安全措施并隐藏访问权限。后门也被称为访问点。

一旦攻击者获得了对系统的访问权限，他可能希望在失去连接、被检测到并被移除初始访问权限，或者系统后续被打了补丁而失去访问权限的情况下，重新访问该系统。这时，攻击者需要安装一个持久化的后门。持久化后门可以让攻击者重新访问他之前入侵过的系统。你可以查看TryHackMe上的Windows持久化房间，了解攻击者如何在Windows上实现持久化。

持久化可以通过以下方式实现：

在Web服务器上安装Web Shell：Web Shell是一种用Web开发编程语言（如ASP、PHP或JSP）编写的恶意脚本，攻击者用它来维持对被入侵系统的访问。由于Web Shell的简单性和文件格式（.php、.asp、.aspx、.jsp等），它们可能难以被检测到，并且可能会被误认为是良性的。你可以查看微软发布的一篇关于各种Web Shell攻击的优秀文章。
在受害者的机器上安装后门：例如，攻击者可以使用Meterpreter在受害者的机器上安装后门。Meterpreter是Metasploit框架的一个有效载荷，它为攻击者提供了一个交互式外壳，攻击者可以通过它远程与受害者的机器交互并执行恶意代码。
创建或修改Windows服务：这种技术在MITRE ATT&CK中被称为T1543.003（MITRE ATT&CK是一个基于真实场景的对手战术和技术知识库）。攻击者可以创建或修改Windows服务，以定期执行恶意脚本或有效载荷，作为持久化的一部分。攻击者可以使用像sc.exe（sc.exe允许你创建、启动、停止、查询或删除任何Windows服务）和Reg这样的工具来修改服务配置。攻击者还可以通过使用与操作系统或合法软件相关的服务名称来伪装恶意有效载荷。
在注册表或启动文件夹中为恶意有效载荷添加“运行项”条目：通过这样做，每次用户在计算机上登录时，有效载荷都会执行。根据MITRE ATT&CK，存在一个针对个人用户账户的启动文件夹位置，以及一个系统级的启动文件夹，无论哪个用户账户登录，都会检查这个文件夹。
你可以通过阅读MITRE ATT&CK中的一项技术，了解更多关于注册表运行项/启动文件夹持久化的内容。

在这个阶段，攻击者还可以使用时间戳篡改（Timestomping）技术来避免被取证调查人员发现，并使恶意软件看起来像是合法程序的一部分。时间戳篡改技术允许攻击者修改文件的时间戳，包括修改时间、访问时间、创建时间和更改时间。

问答时间

你能提供用于修改文件时间属性以隐藏新文件或对现有文件更改的技术名称吗？Timestomping
你能说出攻击者在Web服务器上植入的恶意脚本的名称吗？这种脚本用于维持对被入侵系统的访问，并允许远程访问Web服务器。Web Shell

7. 命令与控制

在这里插入图片描述
在获得持久性并执行受害者机器上的恶意软件后，“Megatron”通过恶意软件打开了C2（命令与控制）通道，以远程控制和操纵受害者。这个术语也被称为C&C或C2信标（Beaconing），这是一种C&C服务器与受感染主机上的恶意软件之间的恶意通信类型。受感染的主机将始终与C2服务器进行通信，这也是“信标”一词的来源。