「 网络安全常用术语解读 」杀链Kill Chain详解

news2024/11/15 17:03:11

1. 简介

早在2009年,Lockheed Martin公司就提出了杀链(Kill Chain)理论,现在也称之为攻击者杀链(Attacker Kill Chain)。杀链其实就是攻击者进行网络攻击时所采取的步骤。杀链模型包括7个步骤:1侦察 -> 2武器化 -> 3交付 -> 4利用 -> 5安装 -> 6命令和控制 -> 7针对目标的活动。在第1-6步的任何时刻进行成功拦截,都能够实现对目标的保护。
在这里插入图片描述
图片来源:https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/photo/cyber/THE-CYBER-KILL-CHAIN-body.png.pc-adaptive.full.medium.png

Note:这是一个完整的、端到端的过程,故称之为“链”,任何不足都会中断整个过程。

2. 杀链的七个步骤

网络杀链的七个步骤增强了对攻击的可见性,丰富了分析者对对手战术、技术和程序的理解。

2.1. 侦察(Reconnaissance)

侦察阶段攻击者的工作是研究、识别和选择目标,比如爬取互联网网站(例如:会议记录和电子邮件地址、社交关系或特定技术信息的邮件列表)或通过公开的媒体收集信息(例如:报纸、电视新闻等。

Note:据分析统计,针对渗透测试或攻击,至少有70%的工作是在进行侦察。就像军事组织在进攻敌人前,需要尽可能地去了解敌人的一切信息。比如美国进攻伊拉克展开的“斩首行动”中,就集合了陆军、空军、海军还有电子设备等各种侦察,甚至派出上百名特种部队,还动用了五十名中情局的特动,他们在伊拉克境内活动长达四个多月,秘密追踪萨达姆和其官员的活动情况。

2.2. 武器化(Weaponization)

通常通过自动化工具将远程访问木马利用漏洞耦合到可交付有效负载(如PDF或Microsoft Office文档)中。越来越多的客户端应用程序数据文件用作可交付使用的武器。

2.3. 交付(Delivery)

交付就是将武器传输到目标环境。洛克希德·马丁计算机事件响应团队(Lockheed Martin Computer Incident Response Team,LM-CIRT)早在2004-2010年就发现APT参与者对武器有效载荷的三种最普遍的传递媒介是电子邮件附件、网站和USB可移动媒体。

2.4. 利用(Exploitation)

将武器交付给受害者主机后,漏洞利用会触发入侵者的代码。漏洞利用通常针对一个应用程序或操作系统漏洞。例如,通过缓冲区溢出利用一个已经操作系统的漏洞(如CVE-2022-3602)。

2.5. 安装(Installation)

在受害系统上安装远程访问特洛伊木马或后门程序可使攻击者在环境中保持持久性。从防护者的角度看,这是杀链中最容易检测到的环节。

2.6. 命令和控制(Command and Control)

通常受感染的主机会向Internet控制器服务器发送信号来建立C2通道。 APT恶意软件尤其需要手动交互,而不是自动进行活动。一旦建立了C2通道,入侵者就可以在目标环境中控制键盘执行恶意命令。

2.7. 针对目标的活动(Actions on objectives)

只有在经过前面六个阶段之后,入侵者才能采取行动以实现其最初目标。通常,此目标是数据泄漏(涉及从受害环境中收集,加密和提取信息)。破坏数据完整性或可用性也是潜在的目标。或者,入侵者可能只希望访问最初的受害者,把其当作跳板点来危害其他系统并在网络内部横向移动。

3. 各阶段的检测、防御及削减

在这里插入图片描述

更多关于杀链的介绍及分析案例,可以参阅Lockheed Martin公司发表的论文Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains。

4. 参考

[1] Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains


推荐阅读:
「 网络安全术语解读 」点击劫持Clickjacking详解
「 网络安全术语解读 」内容安全策略CSP详解
「 网络安全术语解读 」静态分析结果交换格式SARIF详解
「 网络安全常用术语解读 」安全自动化协议SCAP详解
「 网络安全术语解读 」通用平台枚举CPE详解
「 网络安全常用术语解读 」通用缺陷枚举CWE详解
「 网络安全常用术语解读 」通用漏洞披露CVE详解
「 网络安全常用术语解读 」通用漏洞评分系统CVSS详解

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1408237.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

java程序判等问题

注意 equals 和 的区别 对基本类型,比如 int、long,进行判等,只能使用 ,比较的是直接值。因为基本类型的值就是其数值。对引用类型,比如 Integer、Long 和 String,进行判等,需要使用 equals 进…

【立创EDA-PCB设计基础】6.布线铺铜实战及细节详解

前言:本文进行布线铺铜实战及详解布线铺铜的细节 在本专栏中【立创EDA-PCB设计基础】前面完成了布线铺铜前的设计规则的设置,接下来进行布线 布局原则是模块化布局(优先布局好确定位置的器件,例如排针、接口、主控芯片&#xff…

Sulfo Cy3 hydrazide,磺化-Cy3-酰肼,可用于与生物分子的羰基衍生物偶联

您好,欢迎来到新研之家 文章关键词:Sulfo-Cyanine3-hydrazide,Sulfo Cy3 hydrazide,Sulfo Cyanine3 HZ,磺化 Cy3 酰肼,磺化-Cy3-酰肼 一、基本信息 产品简介:Sulfo-Cyanine3-hydrazide能够与…

远程连接银河麒麟

目录 一、防火墙服务 二、安装SSH服务 1.验证SSH服务是否安装 2.安装SSH服务 三、启动SSH服务 四、远程连接 1.切换登录用户 2.查看IP地址 3.FinalShell连接 4.切换root用户 前言: 本篇主要讲述在Win10系统中通过FinalShell远程连接银河麒麟桌面操作系统V10 一、防火…

android studio从空白开始

对我来说,真正的第一步是清理电脑C盘。从剩余8G清理到25G,把原来看不顺眼又不敢删的文件夹和软件全删了,删爽了的后果就是,用两天的时间在把一些环境配置慢慢装回来,node.js,jdk,npm。努力把它们…

零基础学习【Mybatis Plus】这一篇就够了

学习目录 1. 快速入门1-1. 常用注解总结 1-2. 常用配置 2. 核心功能3. 扩展功能4. 插件功能 1. 快速入门 1-1. 常用注解 MybatisPlus中比较常用的几个注解如下: TableName: 用来指定表名Tableld: 用来指定表中的主键字段信息TableField: 用来指定表中的普通字段信…

Excel·VBA时间范围筛选及批量删除整行

看到一个帖子《excel吧-筛选开始时间,结束时间范围内的所有记录》,根据条件表中的开始时间和结束时间构成的时间范围,对数据表中的开始时间和结束时间范围内的数据进行筛选 目录 批量删除整行,整体删除批量删除整行,分…

[每日一题] 01.24 - 求三角形

求三角形 n int(input()) count1 (1 n) * n // 2 count2 n * n lis1 [str(i).zfill(2) for i in range(1,count1 1)] lis2 [str(i).zfill(2) for i in range(1,count2 1)]for i in range(0,len(lis2),n):print(.join(lis2[i:i n]))print()for i in range(1,n 1):tem…

Vue+Element(el-upload+el-form的使用)+springboot

目录 1、编写模板 2、发请求调接口 3、后端返回数据 1.编写实体类 2.Controller类 3、interface接口(Service层接口) 4.Service(接口实现) 5、interface接口(Mapper层接口) 6、xml 4、upload相关参…

微信小程序之全局配置-window和tabBar

学习的最大理由是想摆脱平庸,早一天就多一份人生的精彩;迟一天就多一天平庸的困扰。各位小伙伴,如果您: 想系统/深入学习某技术知识点… 一个人摸索学习很难坚持,想组团高效学习… 想写博客但无从下手,急需…

抖捧AI实景自动直播怎么玩

​在如今的全民直播时代,直播已经成为了众多实体店、品牌方所刚需的技能,但是大多数都不具备太多的直播能力 ,这个时候实景自动直播就应运而生,但是很多人都没有想清楚,AI实景自动直播,到底适不适合自己用呢…

使用官方标定工具Dynamic Calibrator对RealSense D435i进行标定(二)

工具的安装教程可以看我的上一篇博文:Ubuntu 18.04安装Dynamic Calibration software for the Intel RealSense™ D400 Series Cameras(一) 使用教程参考user guide:https://www.intel.com/content/www/us/en/support/articles/0…

2023春秋杯冬季赛 --- Crypto wp

文章目录 前言Cryptonot_wiener 前言 比赛没打,赛后随便做一下题目 Crypto not_wiener task.py: from Crypto.Util.number import * from gmpy2 import * import random, os from hashlib import sha1 from random import randrange flagb x bytes_to_long(f…

IO 专题

使用try-with-resources语句块,可以自动关闭InputStream [实践总结] FileIUtils 共通方法最佳实践 [实践总结] java 获取在不同系统下的换行符 [实践总结] StreamIUtils 共通方法最佳实践 斜杠“/“和反斜杠“\“的区别 路径中“./”、“…/”、“/”代表的含义…

MySql索引事务讲解和(经典面试题)

🎥 个人主页:Dikz12🔥个人专栏:MySql📕格言:那些在暗处执拗生长的花,终有一日会馥郁传香欢迎大家👍点赞✍评论⭐收藏 目录 索引 概念 索引的相关操作 索引内部数据结构 事务 为…

容联七陌x新飞电器|升级高效智能客服,实现满意度跃升新台阶

随着电商兴起,电器行业深入到各大电子商务平台,订单量、咨询量也随之增长,对及时响应、准确回答、高效解决、提高服务品质等需求逐渐增加。 新飞电器选择了与容联七陌合作企业版在线客服产品,共同打造高效、便捷、个性化的优质客…

达梦数据库增删改查常用操作及-2723: 仅当指定列列表,且SET IDENTITY_INSERT为ON时,才能对自增列赋值问题修复

创建表 CREATE TABLE DICT ( "ID" INT IDENTITY(1, 1) NOT NULL, "TYPE" VARCHAR(30), "CODE" BIGINT, "NAME" VARCHAR(300), "VALUE" VARCHAR(200), "DESCRIPTION" VARCHAR(255), "OPERATOR"…

【LeetCode力扣】面试题 17.14. 最小K个数(top-k问题)

目录 1、题目介绍 2、解题思路 2.1、优先队列解法 2.2、top-k问题解法 1、题目介绍 原题链接:面试题 17.14. 最小K个数 - 力扣(LeetCode) 题目要求非常简短,也非常简单,就是求一组数中的k个最小数。 2、解题思路 …

碳排放预测 | Matlab实现LSTM多输入单输出未来碳排放预测,预测新数据

碳排放预测 | Matlab实现LSTM多输入单输出未来碳排放预测,预测新数据 目录 碳排放预测 | Matlab实现LSTM多输入单输出未来碳排放预测,预测新数据预测效果基本描述程序设计参考资料 预测效果 基本描述 1.Matlab实现LSTM长短期记忆神经网络多输入单输出未来…

Tarjan 算法(超详细!!)

推荐在 cnblogs 上阅读 Tarjan 算法 前言 说来惭愧,这个模板仅是绿的算法至今我才学会。 我还记得去年 CSP2023 坐大巴路上拿着书背 Tarjan 的模板。虽然那年没有考连通分量类似的题目。 现在做题遇到了 Tarjan,那么,重学,开…