はじめに
Try Hack MeのCyber Kill Chainに関するメモです。
Cyber Kill Chainの流れおよびそれぞれの段階の意味、目的、内容について記載しています。
Introduction
Kill Chainという言葉は軍事概念であり、標的の偵察から諸々を経て破壊までの流れを表します。
Lockheed Martinは2011年にこの概念を元としたCyber Kill Chainフレームワークを作成しました。
Cyber Kill Chainを理解することで、サイバー攻撃に対する知識を深め、自己防衛能力を向上させることができます。
Cyber Kill Chainの攻撃の流れは以下の通りです。
- Reconnaissance
- Weaponization
- Delivery
- Exploitation
- Installation
- Command & Control
- Actions on Objectives
Reconnaissance
Reconnaissance(偵察)とは、攻撃対象のシステム、被害者に関する情報を収集、発見することです。
OSINT(オープンソースインテリジェンス)も偵察行為と見なされ、攻撃者が攻撃の次の段階に移るために必要なステップです。
OSINTとは、公開されたリソース(ニュースや官報、テレビ・ラジオなど)から、電話番号、電子メールアドレス、会社規模などを収集するプロセスを言います。
Weaponization
偵察が完了すると、対象を攻撃するための武器を作成、入手する段階になります。
武器はマルウェア、エクスプロイト、ペイロードなどがあり、自作したり、ダークウェブから購入したりします。
スキルが高い攻撃者は検出されにくいよう武器をカスタマイズします。
Delivery
武器を作成したら、対象に武器を送信する段階に入ります。
送信する方法には以下のようなものがあります。
- フィッシングメール
- 信頼のある人になりすまし、マルウェア、ペイロードが埋め込まれたメールを対象に開かせる。
- USBドロップ攻撃
- マルウェアなどが保存されたUSBメモリを公共の場などにばら撒く。
- 水飲み場攻撃
- 多くの人が利用するサイトを侵害し、悪意のあるウェブサイトにリダイレクトさせる。
Exploitation
フィッシングメールなどにより、対象のシステムにアクセスできるようになったら、次の段階に入ります。
システム内のソフトウェア、サーバなどの脆弱性を悪用し、権限昇格やネットワークの横断などを試みます。
Installation
前段階でシステムへの侵入に成功しましたが、アクセス遮断やバッチ適用によって攻撃者がシステムにアクセスできなくなる可能性があります。
そのため、攻撃者は永続的なバックドアをシステムに密かにインストールすることを目指します。
バックドアはPHP、JSPなどのプログラミング言語で書かれたスクリプト(Web Shell)などがあります。
また、この段階で攻撃者は検出を避けるためにタイムストンピングという技術でファイルのタイムスタンプを操作する場合があります。
Command & Control
マルウェアなどに侵害されたマシンは攻撃者によってC2チャネルを経由して遠隔操作されます。
遠隔操作された被害マシンは攻撃者が設定した外部サーバーと通信し、コネクションを確立させます。
これにより被害マシンは攻撃者によって完全にコントロールされます。
C2チャネルには、HTTP、HTTPS、DNSなどが利用されます、
Actions on Objectives(Exfiltration)
以上6つの段階を経て、攻撃者は侵害したマシンから情報搾取や改ざん、データ破壊、サービス停止等の攻撃者の目的を実行します。