- キル チェーンという用語は、攻撃の構造に関連する軍事概念
- ロッキード マーティンという企業が、軍事概念に基づいて 2011 年にサイバー セキュリティ業界向けの Cyber Kill Chain® フレームワークを確立した
- サイバー空間で敵対者または悪意のある行為者が使用する手順を定義
- 敵対者が成功するには、キル チェーンのすべてのフェーズを通過する必要がある
- あらゆるサイバー攻撃を理解し、それらから保護するのに役立つ。
- サイバー キル チェーンを使用すると、不足しているセキュリティ制御を特定し、足りない部分を埋めることで、セキュリティを評価できる
サイバーキルチェーンの段階
-
Reconnaissance (偵察)
- システムと標的に関する情報を発見して収集すること
- OSINT
- 公開されているリソースから企業と従業員に関する入手可能な全ての情報(企業の規模、電子メールアドレス、電話番号など)を収集して、標的を調査する必要がある
- ツール
- https://osintframework.com/
- 欲しい情報とどのツールを使えばいいのかがわかる
- theHarvester
- メールの収集以外にも、このツールは複数の公開データソースを使用して名前、サブドメイン、IP、URLも収集できる
- Hunter.io
- ドメインに関連付けられた連絡先情報を取得できるメールハンティングツール
- LinkedIn、Facebook、Twitter、Instagram などのソーシャル メディア Web サイト
- フィシングとかに使われる
- https://osintframework.com/
- OSINT
- システムと標的に関する情報を発見して収集すること
-
Weaponization (兵器化)
- 多くの攻撃者は、自動化ツールを使用してマルウェアを生成するか、ダークウェブからマルウェアを購入する
- より洗練された攻撃者や国家が支援するAPTグループは、カスタム マルウェアを作成してマルウェア サンプルを一意にし、ターゲットでの検出を回避する
- APT攻撃
- 特定の会社、組織、あるいは個人を明確にターゲットにして行われる高度で持続性を持ったサイバー攻撃のこと
- 最新の攻撃手法・ゼロデイの脆弱性を活用した高度な攻撃 (Advanced : 高度性)
- 標的のシステムに長期間留まり、目的を達成するまで活動を続ける、諦めない (Persistent : 持続性)
- APT攻撃
-
Delivery (配送)
- 作成・購入したマルウェアを標的に届ける
- フィッシングメール
- 感染したUSBを標的に郵送する
- 水飲み場攻撃
- 標的がよく利用するwebサイトを掌握し、標的が見に来た時にマルウェアをダウンロードさせる
- 作成・購入したマルウェアを標的に届ける
-
Exploitation (エクスプロイト)
- 配送したマルウェアの実行
- 横方向の移動(Lateral Movement)
-
Installation (インストール)
- 永続的なバックドアのインストール
- 流れ
- WebShellのインストール
- バックドアのインストール
- Windowsサービスの作成・変更
- MITRE ATT&CKのT1543
- 定期的にペイロードやバックドアを永続化させる
- タイムストンプを行なって正当なプロセスに見せかける
- タイムストンプとは、ファイルの作成・アクセス・変更の時間を変更する手法
-
Command & Control (C&C,C2ビーコン)
- 永続性を獲得し、被害者のマシン上でマルウェアを実行した後、マルウェアを介してC2チャネルを開いて、被害者をリモートで制御(Command)とControlを行う
- 攻撃者が使用する最も一般的なC2チャネル
- ポート 80 のHTTPプロトコルとポート 443 の HTTPS プロトコル
- 悪意のあるトラフィックと正当なトラフィックを混合し、攻撃者がファイアウォールを回避しやすい
- DNS
- 感染したマシンは、攻撃者が所有するDNSサーバーに継続的にDNS要求を送信する
- このタイプの C2 通信は、 DNSトンネリングとも呼ばれる
- ポート 80 のHTTPプロトコルとポート 443 の HTTPS プロトコル
-
Actions on Objectives (目的遂行)
- 今までの全てのフェーズを通ることで目的を達成される
- 目的
- ユーザーから資格情報を収集
- 権限昇格
- 内部偵察
- 会社の環境内での横方向の移動
- 機密データの収集・流出
- バックアップとシャドウ コピーの削除
- データの上書き・破損