Cyber Kill Chain是由全球最大国防工业承包商"洛克希德·马丁公司"于2011年提出的网络安全威胁的杀伤链模型(普遍适用的网络攻击流程与防御概念,参考军事上的杀伤链(Kill Chain)概念),攻击链内容是将网络攻击分为七个阶段:侦察跟踪、武器构建、载荷投递、漏洞利用、安装植入、命令与控制、目标达成。

为何要重提七步杀

大概在21年某次面试的时候被问到该攻击链的问题,当时因为日常工作是Web渗透和App的安全,考虑的最多的也就是如何做好手头上的安全服务工作,对该模型也只是看过但没仔细去研究和思考,如今由于工作关系再来回过头看该模型,心中真是五味杂陈,此时便知"纸上得来终觉浅,绝知此事要躬行。"
重提七步杀模型的原因还是因为2023年的主要工作应该是围绕着攻击链来进行而非限于Web漏洞利用了。

计划

接下来的工作开始是:"研究技战法"→"寻找/自研工具"→"投入实践"→"改良技战法"→"归纳总结",如此循环,其中"研究技战法"、"自研工具"及"归纳总结"属于需要费时费脑的工作,"投入实践"和"改良技战法"则是检验效果。

  • 前期,技战法可以参考公开的APT组织的战法进行模仿,虽然有些方法可能被用烂了,但是某些方法取胜关键是细节,同一种方法在同一个人身上可能因为某些细节的关系能绊倒目标两次,工具暂且就找现成的东西,毕竟从编码到测试再到投入使用时间间隔过长了,现成的轮子还能保证稳定运行

  • 后期,则希望能将技战法写成半自动化的工具。中期去哪了?中期当然是不断学习和造轮子了,就我目前的知识面2023年能把公开的技战法中的内容用好就是进步了,后期部分明年之后不知道能不能搞定。

七步杀技术图

以七步杀为流程,扩展到信息收集、漏洞利用、C2工具、免杀等各项常见技术,此图也仅包含我当前所熟知的技术面,后续会进行更新扩展。

参考

网络空间安全时代的红蓝对抗建设-腾讯安全平台部
未知攻,焉知防-易霖博向你讲述信息安全在攻防对抗中演变着防御体系