CKC(cyber-attacksandtheCyberKillChain)杀伤链模型

admin
admin
admin
0
文章
0
评论
2026-01-21 01:10:20 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 洛克希德马丁提出的CKC模型将网络攻击拆为7阶段:侦察、武器化、投递、利用、植入、控制、达成;以Stuxnet为例验证其工业破坏流程;强调任一阶段阻断即可破链,适合教学与战略,但线性假设难覆盖现代非线性攻击、内部威胁及云环境,后渗透细节缺失致实操受限,需结合纵深防御弥补。 综合评分: 82 文章分类: 漏洞分析,威胁情报,恶意软件,安全建设,应急响应

cover_image

CKC(cyber-attacks and the Cyber Kill Chain)杀伤链模型

安全大脑 安全大脑

安全大脑

2026年1月20日 09:00 北京

一、模型的由来及构成

由洛克希德马丁公司提出的网络杀伤链CKC模型是网络安全领域最具影响力的攻击模型之一,借鉴了军事域的”杀伤链”的概念,旨在通过将网络攻击分解为一系列连续的阶段,来识别、阻止和环节网络入侵活动

共可分为7个阶段:

Step1:侦查追踪

对目标进行研究、识别和计划。通过在线或其他方式观察目标,为目标建立配置文件,从而设计出最有效的实施攻击策略。工具:开源情报系统(常见社交媒体)、社会工程学、端口扫描、暴力密码破解、漏洞探测

Step2:武器构建

制作定向攻击武器,比如带EXE的pdf文件或者漏洞利用程序

Step3:载荷投递

将攻击工具有效部署到目标环境中,比如钓鱼邮件、U盘、常见行业网站挂马

Step4:漏洞利用

利用目标系统的应用或者操作系统漏洞,在目标系统触发攻击工具运行

Step 5:安装植入

      在目标系统中植入木马、后门,以获得持续的访问权限,与互联网控制器服务器建立一个Command&Control信道

Step6:持续控制

      目标主机持续向外连接互联网上的控制服务器,建立通道,完成持续控制功能。为了更成功的攻击,攻击者需要隐藏证据:可以更改数据以消除泄露的证据,植入虚假的数据线索,清除操作日志以破坏取证等。

Step7:目标达成

      攻击者通过一系列攻击活动实现目标攻击,包括对敏感数据的窃取、破坏等

二、使用CKC模型分析Stuxnet震网病毒

      Stuxnet是世界上第一个被公开发现的,专门针对工业控制系统ICS的恶意软件。它的目标是伊朗的核设施,特别是离心机,造成了巨大的物理破坏。修改核电站离心机的转速,加剧了损坏性,致使伊朗核研究计划倒退多年

Step1侦查追踪

      攻击者投入了大量资源,对伊朗核设施的网络架构,使用的西门子工控系统(PLC型号、组态、漏洞)做了针对性、惊喜的侦查

Step2武器构建

      构建了利用多个0day漏洞的Stuxnet病毒,具有极强的隐蔽性和杀伤性。

Step3载荷投递

      使用U盘进行投递攻击工具,攻击者感染了合作公司/外部公司的电脑,当他们把带有Stuxnet病毒的U盘插在核设施内部的主机上时,利用U盘LNK文件漏洞自动感染

Step4漏洞利用

       利用Windows的漏洞来执行恶意代码

Step5安装植入

      Stuxnet在受感染的Windows电脑上安装自己,并采取多种手段实现持久化,例如劫持系统文件,修改注册表等。更关键的是,它会寻找连接到电脑的西门子PLC,并尝试植入到PLC的编程代码中

Step6持续控制

       在核设施内部网络传播

Step7目标达成

      最终目标:寻找并识别特定的PLC,修改其代码,导致离心机以不稳定的高速或低速运转

三、纵深防御策略

四、模型的优劣势

—优势

1、CKC模型不仅是一个描述攻击的框架,更重要的是,它提供了一套清晰的防御哲学:

2、只要在攻击过程的任何一个阶段成功地阻断攻击者,整个攻击链就会被打破

3、简单直观:CKC模型易于理解,提供了一个攻击的宏观视角,非常适合网络安全的初学者,也便于在战略层面进行讨论和规划.鼓励主动防御:CKC模型强调在攻击早期阶段进行拦截,培养了防御方主动防御的思维

—不足

1、严格的线性结构:现代攻击往往是非线性的,攻击者可能会跳过某些阶段,或者直接从中间阶段开始(比如使用已盗取的凭证直接进行横向移动)

2、过分关注边界:CKC模型主要关注来自外部、由外向内的传统网络攻击,对于内部威胁、云环境攻击和已在内部立足的攻击者的描述能力较弱

3、缺乏后渗透阶段的细节:CKC将所有后渗透活动笼统地归为”目标达成”,未能详细刻画横向移动、权限提升、防御规避等高级攻击中至关重要的复杂行为。此外,如前所述,”武器化”阶段对防御方是不可见的,这使得该阶段在实际防御中缺乏可操作性

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全大脑 安全大脑 安全大脑《CKC(cyber-attacks and the Cyber Kill Chain)杀伤链模型》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0