はじめに
本記事はTry Hack Me Unified Kill Chainのメモです。
Introduction
サイバーセキュリティを強化するには、脅威の行動、目的、手法を理解する必要があります。
Unified Kill Chain(UKC)フレームワークを通してサイバー攻撃がどのように発生するか理解します。
What is a "Kill Chain"
Kill Chainについての説明はこちらでしています。
攻撃者のKill Chainを理解し、防御策を練ることでシステムを前もって保護したり、攻撃を妨害したりできます。
What is a "Threat Modelling"
Threat Modellingとは、リスクを特定し、システムのせいキュリティを向上させる一連のステップです。
以下のような手順を実施します。
- 保護するシステムやアプリを確認し、それらの役割を特定する
- システム等にどのような脆弱性があるか、どのように悪用されるかを評価する
- 評価された脆弱性からシステム等を保護するための計画を練る
- 脆弱性の再発防止のためのポリシーを練る
STRIDE、DREAD、CVSSなどがThreat Modellingで使用されるフレームワークです。
Introducing the Unified Kill Chain
2017年にこちらのUKCが公開されました。
これはロッキード・マーチンが過去公開したKill Chainフレームワークを補完するものとして作成されました。
UKCには、18の攻撃段階があると定義し、他Kill Chainフレームワークと比較し、それぞれの段階についてかなり詳細に記載されています。
Phase: In(Initial Foothold)
この段階では攻撃者がシステム、ネットワークにアクセスすることに焦点を当てています。
攻撃者は数多くの戦術を使い、システム、ネットワークに関する潜在的な脆弱性となる情報を収集し、攻撃のとっかかりを作ります。
また、攻撃者はバックドアなどシステムにいつでもアクセスできるよう試みます(永続化)。
| 段階 | 説明 | 参考 |
|---|---|---|
| Reconnaissance | 攻撃のとっかかりとなる攻撃対象の情報を収集するフェーズ | MITRE Tactic TA0043 |
| Weaponization | 攻撃者が攻撃を実行するために必要なインフラストラクチャを準備するフェーズ | MITRE Tactic TA0001 |
| Social Engineering | 攻撃者が対象を操り、攻撃者に有利な行動を実行させるフェーズ | MITRE Tactic TA0001 |
| Exploitation | 攻撃者がシステム内の脆弱性、弱点を利用するフェーズ | MITRE Tactic TA0002 |
| Persistence | 攻撃者がアクセスすることができたシステムへの接続性を維持するフェーズ | MITRE Tactic TA0003 |
| Defence Evasion | 攻撃者がシステム、ネットワークに設置された防御策を回避するフェーズ | MITRE Tactic TA0005 |
| Command & Control | 攻撃者と標的システム間の通信を確立し、標的の情報を不正に取得したりするフェーズ | MITRE Tactic TA0011 |
| Pivoting | 攻撃者がネットワーク内の他のシステムにアクセスを試みるフェーズ | MITRE Tactic TA0008 |
Phase: Through(Network Propagation)
攻撃対象のシステム、ネットワークへの足場(Foothold)が作成できたら、この段階に進みます。
攻撃者は機密情報取得やシステム破壊などの目的を達成するため、システムやデータへのアクセスや権限をさらに広げようと試みます。
| 段階 | 説明 | 参考 |
|---|---|---|
| Pivoting | 侵入したシステムをステージングサイトや被害者のネットワークを結ぶトンネルとするフェーズ | MITRE Tactic TA0008 |
| Discovery | 侵入したシステムとそれにつながるネットワークに関する情報を収集するフェーズ | MITRE Tactic TA0007 |
| Privilege Escalation | 脆弱性や設定ミスがあるアカウント情報を活用し、より上位にアクセス権を昇格させようと試みるフェーズ | MITRE Tactic TA0004 |
| Execution | 悪意のあるコードを展開し、持続性を維持するフェーズ | MITRE Tactic TA0002 |
| Credential Access | 「Privilege Escalation」と連携し、キーロギングなどでアカウント名、パスワードなどのクレデンシャルを盗もうと試みるフェーズ | MITRE Tactic TA0006 |
| PivotLateral Movement | 取得したクレデンシャル、権限を使用し、ネットワーク内を移動して主目的を達成するために他システムに移動を試みるフェーズ | MITRE Tactic TA0008 |
Phase: Out(Action on Objectives)
この段階では攻撃者がシステムの機密性、完全性、可用性を侵害するという最終的な目的を達成させようと試みる最終フェーズです。
| 段階 | 説明 | 参考 |
|---|---|---|
| Collection | 攻撃者が関心のある機密情報を収集することで機密性が失われるフェーズ | MITRE Tactic TA0009 |
| Exfiltration | 侵害を拡大させるためデータを奪取しようと試みるフェーズ | MITRE Tactic TA0010 |
| Impact | データの完全性、可用性を侵害するため、資産の改善、破壊を試みるフェーズ | MITRE Tactic TA0040 |