killvxk/analyzing-cyber-kill-chain

分析 Cyber Kill Chain

适用场景

在以下情况下使用本技能：

• 开展事后分析，确定对手在攻击序列中推进了多远
• 设计分层防御控制，目标是在尽可能早的阶段中断攻击
• 生成威胁情报报告，向非技术利益相关方传达攻击进展

不适用于将本技能作为独立框架使用——应与 MITRE ATT&CK 结合使用，获取超越 7 阶段杀伤链所提供的技术级颗粒度。

前置条件

• 包含映射到特定对手行动的取证工件的完整事件时间线
• MITRE ATT&CK Enterprise 矩阵，用于每个杀伤链阶段内的技术级映射
• 访问疑似对手组织典型杀伤链进展的威胁情报
• 响应团队提供的事后报告或 IR 时间线

工作流程

步骤 1：将观察到的行动映射到杀伤链阶段

Lockheed Martin Cyber Kill Chain 包含七个阶段。映射所有观察到的对手行动：

阶段 1 - 侦察（Reconnaissance）：对手在攻击前收集目标信息。

• 指标：来自对手 IP 的 DNS 查询、LinkedIn 抓取、职位发布分析、对组织基础设施进行 Shodan 扫描

阶段 2 - 武器化（Weaponization）：对手创建攻击工具（恶意软件 + 漏洞利用）。

• 指标：恶意软件编译时间戳、漏洞利用文档元数据、恶意软件样本中的构建器工件

阶段 3 - 投递（Delivery）：对手将武器传输至目标。

• 指标：钓鱼邮件、恶意附件、水坑下载、USB 投递、供应链攻击（Supply Chain Attack）

阶段 4 - 漏洞利用（Exploitation）：对手利用漏洞执行代码。

• 指标：应用/OS 日志中的 CVE 利用事件、内存破坏工件、shellcode 执行

阶段 5 - 安装（Installation）：对手在目标上建立持久化（Persistence）。

• 指标：新的计划任务、注册表运行键、服务安装、Web Shell、Bootkit

阶段 6 - 命令与控制（C2）：对手与被攻陷系统通信。

• 指标：信标流量（固定间隔）、DNS 隧道、HTTPS 到非常见域名、C2 框架特征（Cobalt Strike、Sliver）

阶段 7 - 目标行动（Actions on Objectives）：对手实现目标。

• 指标：数据暂存/外泄（Exfiltration）、横向移动（Lateral Movement）、勒索软件（Ransomware）执行、破坏性活动

步骤 2：识别阶段完成情况和检测点

为事件创建阶段矩阵：

阶段 1: 侦察        → 已完成（未检测到）
阶段 2: 武器化      → 已完成（未检测到 — 攻击前活动）
阶段 3: 投递        → 已完成；钓鱼邮件绕过了安全邮件网关
阶段 4: 漏洞利用    → 已完成；CVE-2023-23397 被利用
阶段 5: 安装        → 已检测：EDR 标记了计划任务创建（攻击在此阻断）
阶段 6: C2          → 未达成（安装被阻断）
阶段 7: 目标行动    → 未达成

对每个未经检测就完成的阶段，记录防御控制差距。

步骤 3：映射到 MITRE ATT&CK 获取技术详情

每个杀伤链阶段映射到多个 ATT&CK 战术：

• 投递 → 初始访问 (TA0001)
• 漏洞利用 → 执行 (TA0002)
• 安装 → 持久化 (TA0003)、权限提升 (TA0004)
• C2 → 命令与控制 (TA0011)
• 目标行动 → 数据外泄 (TA0010)、影响 (TA0040)

在每个阶段内，枚举观察到的具体 ATT&CK 技术并映射到现有检测能力。

步骤 4：识别每个阶段的行动方案

对每个阶段，记录适用的防御行动方案（COA）：

• 检测 COA：哪种检测能够对该阶段的对手活动发出告警？
• 拒止 COA：哪种控制能够阻止对手完成该阶段？
• 干扰 COA：哪种控制能够在阶段中途中断对手？
• 降级 COA：哪种控制能够降低对手在该阶段的有效性？
• 欺骗 COA：哪种欺骗手段（蜜罐、金丝雀令牌）能够暴露该阶段的活动？
• 摧毁 COA：哪种主动防御能力能够中和对手基础设施？

步骤 5：生成杀伤链分析报告

按以下结构组织发现结果：

1. 攻击叙述（阶段时间线）
2. 逐阶段分析及证据
3. 检测点分析（何处成功，何处失败）
4. 按成本/效益优先排序的逐阶段防御建议
5. 控制改进路线图

核心概念

| 术语 | 定义 | |------|-----------| | 杀伤链（Kill Chain） | 对手入侵阶段的顺序模型；从理论上讲，断开任何环节即可阻止攻击 | | 行动方案（COA） | 映射到每个杀伤链阶段的防御响应：检测、拒止、干扰、降级、欺骗、摧毁 | | 信标（Beaconing） | 被攻陷主机向对手服务器定期发送 C2 心跳包的模式；可通过频率分析检测 | | 阶段完成 | 对手成功完成一个杀伤链阶段并推进到下一阶段；纵深防御旨在阻止这一点 | | 情报获取/损失 | 分析在阶段 5（而非阶段 3）检测是否减少了对对手能力或意图的情报 |

工具与系统

• MITRE ATT&CK Navigator：将杀伤链阶段与 ATT&CK 技术覆盖叠加以进行综合分析
• Elastic Security EQL：事件查询语言，用于在 Elastic SIEM 中查询多阶段攻击序列
• Splunk ES：时间线可视化和杀伤链阶段排序的关联搜索
• MISP：通过 galaxy 集群进行杀伤链标记，用于结构化事件文档

常见陷阱

• 线性假设：对手并不总是线性推进——他们可能跳过阶段（武器化已在之前的攻击活动中完成）或回退（检测后重新建立 C2）。
• 忽略阶段 1 和 2：侦察和武器化在防御者拥有可见性之前就已发生。了解这些阶段的情报需要外部来源（OSINT、威胁情报）。
• 遗漏内部威胁：杀伤链是为外部对手设计的。内部威胁可能直接跳到阶段 7，而无需经历早期阶段。
• 与 ATT&CK 战术混淆：7 阶段杀伤链和 14 个 ATT&CK 战术是互补的，但并非直接等价。保持区分以避免分析混乱。