米軍の Kill Chain をなぞらえて、標的型攻撃の流れをCyber Kill Chainとしてモデル化
ロッキードマーティン社が標的型攻撃に軍事的モデルを当てはめて標準化しました。
攻撃フェーズの流れを理解し、早期の検知と防御を検討することができます。
Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains(Lockheed Martin Corporation)
https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-Defense.pdf
1.標的の選定(Reconnaissance)
標的の調査、特定、選別する。
WEBサイト、メーリングリスト、SNS等
2.武器の作成(Weaponization)
リモート攻撃能力をもったマルウエアを作成する。
PDF,MS Officeのマクロウイルス等
3.武器の配布(Delivery)
標的へのワームの送付
email添付ファイル,Webサイト,USBメモリー
4.引金を引く(Exploitation)
脆弱箇所を狙ってマルウェアの攻撃を始める。
アプリ、OSの脆弱箇所、添付ファイルの実行
5.武器のセッティング(Installation)
標的システムへの侵入して、外部接続の口を作る。
バックドア、リモートアクセストロイ
6.外部指示チャネル開設(Command & Control)
外部の攻撃者サイトと接続し、リモートコマンド環境を構築する。
7.目的実行(Actions)
当初の目的を実行する。
データの暗号化、搾取、破壊。侵入システム内の横展開。
