> For the complete documentation index, see [llms.txt](https://snowyowls-organization.gitbook.io/snowyowl644-hacklog/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://snowyowls-organization.gitbook.io/snowyowl644-hacklog/tryhackme/soc_level1/cyber-kill-chain.md).

# Cyber​​ Kill Chain

* **キル チェーン**という用語は、攻撃の構造に関連する軍事概念
* ロッキード マーティンという企業が、軍事概念に基づいて 2011 年にサイバー セキュリティ業界向けの Cyber​​ Kill Chain® フレームワークを確立した
  * サイバー空間で敵対者または悪意のある行為者が使用する手順を定義
  * 敵対者が成功するには、キル チェーンのすべてのフェーズを通過する必要がある
  * あらゆるサイバー攻撃を理解し、それらから保護するのに役立つ。
  * サイバー キル チェーンを使用すると、不足しているセキュリティ制御を特定し、足りない部分を埋めることで、セキュリティを評価できる

サイバーキルチェーンの段階

* Reconnaissance (偵察)
  * システムと標的に関する情報を発見して収集すること
    * OSINT
      * 公開されているリソースから企業と従業員に関する入手可能な全ての情報(企業の規模、電子メールアドレス、電話番号など)を収集して、標的を調査する必要がある
      * ツール
        * <https://osintframework.com/>
          * 欲しい情報とどのツールを使えばいいのかがわかる
        * [theHarvester](https://github.com/laramies/theHarvester) &#x20;
          * メールの収集以外にも、このツールは複数の公開データソースを使用して名前、サブドメイン、IP、URLも収集できる
        * [Hunter.io](https://hunter.io/) &#x20;
          * ドメインに関連付けられた連絡先情報を取得できるメールハンティングツール
        * LinkedIn、Facebook、Twitter、Instagram などのソーシャル メディア Web サイト
          * フィシングとかに使われる
* Weaponization (兵器化)
  * 多くの攻撃者は、自動化ツールを使用してマルウェアを生成するか、ダークウェブからマルウェアを購入する
  * より洗練された攻撃者や国家が支援するAPTグループは、カスタム マルウェアを作成してマルウェア サンプルを一意にし、ターゲットでの検出を回避する
    * APT攻撃
      * 特定の会社、組織、あるいは個人を明確にターゲットにして行われる高度で持続性を持ったサイバー攻撃のこと
      * 最新の攻撃手法・ゼロデイの脆弱性を活用した高度な攻撃 (Advanced : 高度性)
      * 標的のシステムに長期間留まり、目的を達成するまで活動を続ける、諦めない (Persistent : 持続性)
* Delivery (配送)
  * 作成・購入したマルウェアを標的に届ける
    * フィッシングメール
    * 感染したUSBを標的に郵送する
    * 水飲み場攻撃
      * 標的がよく利用するwebサイトを掌握し、標的が見に来た時にマルウェアをダウンロードさせる
* Exploitation (エクスプロイト)
  * 配送したマルウェアの実行
  * 横方向の移動(Lateral Movement)
* Installation (インストール)
  * 永続的なバックドアのインストール
  * 流れ
    * WebShellのインストール
    * バックドアのインストール
    * Windowsサービスの作成・変更
      * [MITRE ATT\&CKのT1543](https://attack.mitre.org/techniques/T1543/)
      * 定期的にペイロードやバックドアを永続化させる
      * タイムストンプを行なって正当なプロセスに見せかける
        * タイムストンプとは、ファイルの作成・アクセス・変更の時間を変更する手法
* Command & Control (C\&C,C2ビーコン)
  * 永続性を獲得し、被害者のマシン上でマルウェアを実行した後、マルウェアを介してC2チャネルを開いて、被害者をリモートで制御(Command)とControlを行う
  * 攻撃者が使用する最も一般的なC2チャネル
    * ポート 80 のHTTPプロトコルとポート 443 の HTTPS プロトコル
      * 悪意のあるトラフィックと正当なトラフィックを混合し、攻撃者がファイアウォールを回避しやすい
    * DNS
      * 感染したマシンは、攻撃者が所有するDNSサーバーに継続的にDNS要求を送信する
      * このタイプの C2 通信は、 DNSトンネリングとも呼ばれる
* Actions on Objectives (目的遂行)
  * 今までの全てのフェーズを通ることで目的を達成される
  * 目的
    * ユーザーから資格情報を収集
    * 権限昇格
    * 内部偵察
    * 会社の環境内での横方向の移動
    * 機密データの収集・流出
    * バックアップとシャドウ コピーの削除
    * データの上書き・破損

参考 : <https://tryhackme.com/r/room/cyberkillchainzmt>
