Hello there, ('ω')ノ

 

Cyber Kill Chainの残りのステップについて。

Cyber Kill Chainのどこかで食い止めれば攻撃は達成できないわけで。

どこに注力するか、どこがコストが安く手っ取り早いかなど。

戦略を立てるのに役に立つのかと。

 

５．Installation（インストール）　⇦　Goal：Gain Persistant Access

　　┗ Payload Injected After the Exploit Gain Better Access

 

　Offensive

　　- DLL Hijacking

　　- Meterpreter

　　- RAT（Remote Access Tools）

　　- Registry Changes

　　- Powershell Commands

　⇩

　Defensive [Protect]

　　- Linux　   ：Chroot

　　- Windows：Disable Powershell

 

　Defensive [Detect]

　　- UBA（User Behavior Analysis） / EDR

 

　Defensive [Respond]

　　- Follow INcident Response SOPs（Standard Operating Procedures）

　　　┗ Device ID（デバイス）⇨ Isolate（隔離）⇨ Wipe（消去）

 

　Defensive [Recover]

　　- Restore or Reimage

６．Command and Control（コマンド＆コントロール）⇦　SLL Deep Packet Inspection

　　┗ Remote Control of the System by the Attacker

 

　Offensive

　　- Meterpreter

　⇩

　Defensive [Isolate（隔離） ⇨ Protect（保護） ⇨ Detect（検出）]

　　- Network Segmentation

　　- Micro Segmentation

　　- NSFW（Not Safe For Work）：C&C Blocking

　　- DNS Redirect

　　- Application Control

　　- IOC（Indicator of Compromise）⇦　セキュリティ侵害インジケーター

７．Actions on OBject（目的の実行）

　　┗ Attacker Executes Desired Action

 

　Offensive

　　- Financial（財政的）

　　- Political（政治的）

　　- Espionage（スパイ活動）

　　- Malicious Insider（悪意のあるインサイダー）

　　- Lateral Movement（横方向への移動）

　⇩

　Defensive [Exfiltrate Data（データの抽出）]

　　- DLP（Data Leakage Prevention）⇦ データの情報漏洩対策 

　　- UBA（User Behavior Analysis）　⇦ ユーザの行動分析

 

　Defensive [Lateral Movement（横方向への移動）]

　　- Network Segmentation

Best regards, ('ω')ノ