什么是“杀伤链模型”（Cyber Kill Chain）

黑客攻击的步骤通常遵循一个系统化的流程，被称为 “攻击生命周期” 或 “杀伤链模型”（Cyber Kill Chain）。
Cyber Kill Chain（网络杀伤链）是由 Lockheed Martin(洛克希德马丁) 公司提出的一个网络安全攻击生命周期模型，用于描述攻击者在实施一次成功的网络攻击时所经历的 典型阶段。它的核心目的是帮助防御者 识别和阻断攻击过程中的关键环节，从而在攻击达成最终目标之前将其打断。

🎯 核心思想

“攻击不是瞬间发生的，而是一系列有序步骤的组合。只要在任何一个环节阻断，就能防止最终破坏。”

通过理解攻击者的行动路径，组织可以部署针对性的检测与防御措施。

🔗 Cyber Kill Chain 的 7 个阶段

阶段	名称	攻击者目标	防御思路
1	Reconnaissance（侦察）	收集目标信息（域名、IP、员工邮箱等）	减少信息暴露、监控可疑扫描
2	Weaponization（武器化）	创建恶意载荷（如带宏的文档、恶意链接）	沙箱检测、YARA 规则匹配
3	Delivery（交付）	将恶意载荷发送给目标（邮件、网站、U盘）	邮件网关过滤、Web 过滤
4	Exploitation（利用）	利用漏洞执行代码（如 Office 漏洞）	打补丁、EDR 检测
5	Installation（安装）	在目标上安装后门或持久化程序	防病毒、应用白名单
6	Command & Control (C2)	建立与攻击者服务器的通信通道	网络流量分析、防火墙规则
7	Actions on Objectives（目标行动）	实现最终目的（数据窃取、勒索、破坏）	数据加密、权限控制、日志审计

🧩 详细解释每个阶段

1. 侦察（Reconnaissance）

攻击者通过公开渠道收集信息：
- WHOIS 查询、LinkedIn 员工信息、GitHub 代码泄露
- 使用工具：nmap, theHarvester, Shodan
目标：找到攻击入口（如暴露的服务器、易钓鱼员工）

2. 武器化（Weaponization）

制作攻击工具：
- 恶意 PDF、带宏的 Excel 文件
- 绑定 C2 地址的可执行文件
工具：Metasploit、Cobalt Strike

3. 交付（Delivery）

将武器传送到目标：
- 钓鱼邮件（最常见）
- 恶意广告（Malvertising）
- 供应链攻击（污染软件更新）

4. 利用（Exploitation）

当用户打开文件或访问网站时，触发漏洞执行恶意代码
例如：CVE-2021-40444（MS Office 漏洞）

5. 安装（Installation）

在目标系统上安装持久化后门（如 RAT、Webshell）
确保重启后仍能控制

6. 命令与控制（C2）

恶意程序连接攻击者的服务器
接收指令、上传数据
通信方式：HTTPS、DNS 隧道、Telegram

7. 目标行动（Actions on Objectives）

执行最终攻击目的：
- 窃取数据（客户信息、源代码）
- 部署勒索软件
- 横向移动到域控服务器
- 破坏系统

🛡️ 防御策略：在每个阶段打断攻击链

阶段	安全措施
Reconnaissance	减少公网信息暴露、监控异常访问
Weaponization	文件沙箱、静态分析
Delivery	邮件安全网关（如 Proofpoint）、URL 过滤
Exploitation	及时打补丁、启用 DEP/ASLR
Installation	防病毒软件、EDR、应用白名单
C2	网络流量分析（如 Zeek）、防火墙规则
Actions on Objectives	最小权限原则、数据分类与加密、SIEM 日志审计

🔄 与 MITRE ATT&CK 的关系

Cyber Kill Chain 是一个 宏观、线性 的攻击阶段模型，适合初学者理解攻击流程。
MITRE ATT&CK 是一个更 细粒度、矩阵式 的知识库，描述了攻击者在每个阶段可能使用的具体技术（如 T1059 脚本解释器、T1003 凭证转储）。
两者互补：Kill Chain 提供框架，ATT&CK 提供细节。

总结

Cyber Kill Chain 是一个用于理解和防御网络攻击的七阶段模型，从侦察到最终目标行动，帮助安全团队在攻击达成前的任何一步进行检测和阻断。

📌 关键价值：

提供结构化思维，避免“被动挨打”
指导安全体系建设（每阶段都有对应防护）
支持威胁狩猎（Threat Hunting）和事件响应

🔐 记住：防御的目标不是阻止所有攻击，而是在攻击链的任意一环成功打断它。