國考資訊處理工作室(高考二級資訊處理/高考三級資訊處理/調查局三等/關務人員三等/地方特考三等)

111年檢察事務官三等資通安全

答：

由美國國防承包商 Lockheed Martin 所提出，將網路攻擊分為七個步驟。

(一)偵查(Reconnaissance)

1.定義：

  (1)偵查和搜集各種關於目標的資訊，了解目標有什麼值得攻擊的點、有哪些 弱點，以及攻擊成功的機率高不高。

  (2)通常偵查會分為被動式以及主動式：

     a.被動式偵查：

       (a)透過像是 Open Source Intelligence 公開情報來源這類型的手法去搜 集各種公開的資料。

       (b)駭客會從目標的網站內容、Facebook、Instagram、LinkedIn 等等的各種社交軟體上去搜集有用的資訊，有時還可以透過一家公司公布的職缺資訊去推斷他們使用的是哪種系統跟軟體。

     b.主動式的偵查：

       用一些工具去掃描目標的網站和系統來知道他們使用的是哪種系統、哪個版本的系統，有哪些 Port 是打開的。接著再去分析這些搜集來的資訊看看目標使用的系統有沒有一些已知的漏洞可以拿來利用，或是可能可以被利用的破口。

2.防禦手法：

  (1)減少公開的資料，如果不把資訊公開，駭客也就沒就沒有辦法蒐集到這些資訊。

  (2)以技術面來看，要減少系統暴露在外的訊息，這包含了公開的 Port、系統的錯誤訊息、一些連線請求回傳的 header 或是 metadata 等等的資訊，如果沒有把這些資訊隱藏保護好，駭客會可以透過這些資訊知道使用者用的是哪個系統和版本。

  (3)可以利用 HoneyPot 或是 CanaryToken 這類型的警示工具，讓使用者在被掃描和偵查的時候可以收到通知。

(二)武裝(Weaponization)

1.定義：

  (1)尋找以及製造攻擊的工具。

  (2)駭客會透過在偵查過程中搜集來的資料，來對目標的系統製作對應的攻擊工具。這個步驟的複雜程度會因為目標的不同而有很大的差異。

  (3)如果目標使用的系統和軟體有已知的漏洞，駭客可以透過像是 Metaploit 或是 Exploit-DB 等等的工具直接取得現成的攻擊工具。

  (4)如果目標使用的是比較複雜的系統，或是系統沒有已知的漏洞的話，攻擊者就會需要自己寫攻擊程式，有時候還會需要結合很多不同的漏洞來完成一個有效的攻擊程式。

  (5)在這些過程中，駭客不僅僅需要製作出一個可以用的攻擊程式，還會需要將這個攻擊程式做適度的偽裝，來避免之後在使用的過程中被目標發現。

2.防禦手法：

  (1)對於武裝最有效的防禦手法就是更新並修補漏洞。

  (2)當系統∕軟體釋出了更新不僅代表著現在使用的系統／軟體有漏洞可能造成安全性上的威脅，還代表了這個漏洞的資訊已經被公開了駭客有可能已經在利用這個漏洞來進行攻擊了。

  (3)透過更新來修補這些已知的漏洞，就可以降低駭客透過一些已知或是現成的工具來攻擊使用者機率，大幅度的增加攻擊的困難度。

(三)遞送(Delivery)

1.定義：

  (1)把攻擊工具送進目標的系統裡。

  (2)駭客有很多方式可以做到這件事，像是惡意的網站、夾帶著有毒附加檔案的 Email、藏有木馬的盜版軟體、惡意的擴充套件。有個駭客還會把藏有惡意程式的隨身碟亂丟在目標會出沒的環境中，期待目標會因為好奇把它撿起來插到自己的電腦裡面。

  (3)通常駭客會透過在偵查階段搜集來的資訊，來選擇最容易讓目標上鉤的遞送方法。

2.防禦手法：

  (1)正確的資安觀念跟防禦意識。

  (2)當有了正確的觀念以及防禦意識的時候，就會知道不要去點開一些來路不明的網站連結或是 Email 附件、不要下載盜版的軟體、不要把路上撿到的隨身碟插到自己的電腦裡。這些聽起來都是很基本的觀念的做法，但如果能夠將這些防禦意識建立起來的話就可以阻止駭客很多的遞送管道了。

  (3)防毒軟體跟一些瀏覽器擴充套件可以幫忙擋下一些惡意網站跟程式。

(四)開採(Exploitation)

1.定義：

  (1)確認遞送的惡意程式有成功的被執行並取得一定的控制權。

  (2)即便成功的在上一個步驟終將攻擊程式送到了目標的系統也不代表惡意程式真的會被執行，就像是收到了一個 email 的附加檔案也不一定會把它打開一樣。

  (3)因此確保遞送的惡意程式成功的被執行讓駭客取得目標系統一定的控制權，這樣才有辦法繼續執行接下來要做的事。

2.防禦手法：

  可以透過防毒軟體，企業／組織還可以配合使用入侵偵測系統來偵測或是阻擋駭客遞送進來的惡意程式，避免不小心執行了這些惡意程式。

(五)安裝(Installation)

1.定義：

  (1)駭客要確保能夠持續地保持在目標的系統內。

  (2)透過安裝木馬、後門或是像是 Rootkit 這類型會入侵電腦的 BIOS 或是韌體的攻擊工具，來確保即使電腦重開機了，安裝的惡意程式也會再次被執行。有些 Rootkit 甚至不怕電腦重設，因為他們入侵了比作業系統更底層的部分，因此即使刪掉所有的檔案重灌電腦也沒有用。

  (3)這對於駭客來說最重要的點在於不要讓前面所做的所有努力白費，不然如果辛苦植入的惡意程式在目標發現電腦怪怪的，把電腦重開機以後就不能用的話，就會需要把前面四個步驟全部重新來過。

2.防禦手法：

  (1)這裡的重點會從抵擋住駭客變成偵測出駭客了，畢竟駭客都已經完成開採的話就表示該有的防護已經失效了。使用者就會透過偵測系統和電腦內部的活動，來看看有沒有不正常活動跡象。

  (2)資安資訊和事件管理系統和帶有使用者行為分析功能的防毒軟體都會是可以幫助偵測出這些不正常活動的工具。

(六)發令&控制(Command & Control)

1.定義：

  (1)駭客攻擊通常不單單只是想辦法入侵系統然後快速的發動攻擊那麼簡單而已，很多的攻擊行動都會在入侵了目標以後先潛伏並搜集資料再見機行事。有時還要把已經入侵的電腦當作跳板，去入侵更深入更機密的系統，因此當惡意程式成功安裝在目標以後，很多駭客會做的事就是與惡意程式建立連線通道，讓駭客手動控制這個惡意程式，透過這個方式來依照情況下達更精確的下一步指令。

  (2)這麼做的好處是，駭客不需要在最一開始的武裝過程中就把所有東西寫好，畢竟大部分的時候駭客是不知道目標的內部系統長什麼樣子的很難在入侵之前就知道之後要做的每一件事。透過建立起「發令&控制」連線，駭客就可以在成功進入目標系統以後再根據當下蒐集到的資訊去做下一步的判斷跟行動，這樣就可以避免掉很多錯誤的嘗試，從某些角度來看也比較不會被發現。

2.防禦手法：

  (1)阻斷惡意程式跟「發令&控制」伺服器之間的連線。

  (2)可以透過防火牆或是網路入侵阻擋系統去阻擋這些連線，也可以透過威脅情資 (Threat Intelligence) 來取得所有已知的「發令&控制」伺服器資訊，並且擋下所有跟這些「發令&控制」伺服器的連線。

(七)行動(Actions on Objectives)

1.定義：

  (1)駭客的最終目標。

  (2)這個最終目標會因為很多因素而有所不同，可能是為了錢、商業機密、政治因素，最近也聽到越來越多針對目標的上游廠商或是下游客戶所發起的供應鏈攻擊。一般來說，如果完成了行動這個步驟，就代表駭客成功地進行了一次攻擊。

2.防禦手法：

  要阻止駭客的行動會因為駭客的目標不同而有所不同，因此，很難有一個萬用的方法，但是可以透過威脅模型分析 (Threat Modeling)，透過攻擊者的角度去思考有哪些重要的資產可能會是駭客的目標，接著透過分析的結果針對重要的資產去做保護，這樣就可以增加駭客攻擊的難度並降低行動的成功機率。

※參考資料：https://infosecdecompress.com/posts/ep42_cyber_kill_chain