EDUCATION · KILL CHAIN · THERAT MODELING

⚔️ Cyber Kill Chain Guide - Anatomy of Attack

Six chapters on modelling of attacks in international practice: Lockheed Martin Kill Chain (Hutchins, Cloppert, Amin 2011), MITRE ATT&CK 14 tactics, Unified Kill Chain (Paul Paul 2022), Diamond Model, D3FEND defense matrix and link to NIS2 Article 23 incident reporting to NKDC/CERT.LV. Examples are fictional, intended for teaching.

Basis for attack modelling

Kill Chain principle - breaking one stage, mission fails

Cyber Kill Chain 7 fāzes ar pārtraukumu punktiem Septiņas uzbrukuma fāzes secīgi savienotas. Katrā fāzē aizstāvji var pārtraukt ķēdi. Pārtraucot vienu posmu, viss uzbrukums neizdodas. Lockheed Martin Cyber Kill Chain - 7 fāzes Hutchins, Cloppert, Amin (2011) - "Intelligence-Driven Computer Network Defense" 1. Izlūkošana Reconnaissance OSINT, skenēšana 2. Apbruņošana Weaponization exploit + payload 3. Piegāde Delivery phishing, USB, web 4. Ekspluatācija Exploitation CVE, soc.inženierija 5. Instalācija Installation backdoor, noturība 6. C2 kanāls Command & Control attālināta vadība 7. Mērķi Actions on Objectives eksfiltrācija u.c. AIZSTĀVJA IESPĒJAS - lauzt ķēdi jebkurā fāzē 6 darbības veidi (Courses of Action): Detect · Deny · Disrupt · Degrade · Deceive · Destroy Jo agrāk ķēde tiek pārtraukta, jo mazāks bojājums un atjaunošanas izmaksas Uzbrucējam jāizdodas visās 7 fāzēs. Aizstāvim pietiek lauzt vienu posmu

History

The Cyber Kill Chain model was formalized in 2011 by Lockheed Martin researchers Hutchins, Cloppert and Amin. Model adapted from military 'F2T2EA' kit chain (Find, Fix, Track, Target, Engage, Assess) in the US Air Force.

Basic principle

The attack is a sequential chain - every next phase needs a previous result. By stopping one stage, the whole attack fails. This means that the defenders do not have to be perfect in all phases - it is enough to break one.

Application

Three modeling, threat intelligence (TI), detection engineering, incident response plans, security gap analysis, purple team simulations.

Restrictions

Model created for APT/network intrusion analysis. Less suited for internal threats (insiders), supply chain attacks, cloud-native attacks and compromised SaaS sessions where 'supply' and 'explosion' are foggy.

Lockheed Martin 7 Phases

From intelligence to objectives - each phase with protection

LM Kill Chain 7 fāzes ar uzbrucēja darbībām un aizstāvja pretpasākumiem Katra fāze ar piemēriem - kas notiek uzbrucēja pusē un kā aizstāvji to var apturēt. 7 fāzes - uzbrucējs vs aizstāvis Sarkanais - uzbrucēja darbības · Ciānais - aizstāvja pretpasākumi Fāze Uzbrucēja darbība Aizstāvja pretpasākums 1. Izlūkošana Reconnaissance · DNS apzināšana, port scanning (nmap) · OSINT (LinkedIn, GitHub), e-pasta vākšana, profilēšana · Attack Surface Management (ASM), domēnu monitors · Web logu analīze, honeypot, draudu izlūkošana (TI feeds) 2. Apbruņošana Weaponization · Exploit + payload savienošana (Metasploit, Cobalt Strike) · Maldnošs PDF, Office makro, kompromitēts driver · Tieša ietekme ierobežota - notiek uzbrucēja pusē · Netiešā aizsardzība: TI par bruņojuma rīkkopām, IoC kopas 3. Piegāde Delivery · Phishing e-pasti, ļaunprātīgi pielikumi, watering hole · USB drop, malvertising, drive-by downloads · E-pasta filtri (SPF/DKIM/DMARC), sandbox attachment scan · Web proxy, URL reputation, USB device control 4. Ekspluatācija Exploitation · CVE ekspluatācija (ievainojama lietotne, OS, browser) · Sociālā inženierija - lietotājs aktivizē makro vai instalē · Ielāpu pārvaldība (KEV katalogs), DEP/ASLR, app sandbox · EDR endpoint, apmācība, MFA pret credential phishing 5. Instalācija Installation · Backdoor, RAT, web shell, scheduled task, registry run keys · Persistence mehānismi (autostart, services, WMI subscriptions) · EDR ar uzvedības analīzi, application allowlisting · File integrity monitoring (FIM), autorun audita ieraksti 6. C2 kanāls Command & Control · Periodiska saziņa ar C2 serveri (HTTP/S, DNS tunelis, Slack) · Beacon - "Hands on Keyboard" attālināta vadība · Egress filtrēšana, DNS analīze (DGA detection), TLS inspekcija · NIDS/NDR, IoC bloķēšana, JA3/JA4 fingerprint 7. Mērķi Actions on Obj. · Datu eksfiltrācija, šifrēšana (ransomware), iznīcināšana · Privilēģiju paplašināšana, lateral movement uz citiem mērķiem · DLP, datu klasifikācija, šifrēšana miera stāvoklī · Tīkla segmentācija, neizmaināmas dublējumkopijas, IR procedūra

Application

This table serves as a detection engineering 'card' - each phase needs to know what artifact or signal indicates how it is going, so that SOC can establish the appropriate rule.

Reference

Lockheed Martin "Cyber Kill Chain' (2011) · Hutchins, Cloppert, Amin - "Intelligence-Driven Computer Network Defense Informed by Analysis of Additional Campaigns and Intrusion Kill Chains'.

Lacmus test

Can your SOC reveal at least one artifact in each of the seven phases? If any phase is 'empty' - there's a blind strip that an attacker can use without respect.

MITRE ATT&CK - tactics, techniques, procedures

14 tactics - detailed fascinating behavior classification

MITRE ATT&CK 14 taktikas un mapping uz LM Kill Chain MITRE ATT&CK Enterprise matricā ir 14 taktikas. Augšā - kā tās atbilst LM 7 fāzēm. Apakšā - katra taktika ar piemēriem. MITRE ATT&CK Enterprise - 14 taktikas (2 rindas pa 7 kolonnām) attack.mitre.org - dzīvs zināšanu bāze, atjaunina ik 6 mēneši LM: Recon Weaponization Delivery Exploitation Installation (Persistence + Priv.Esc + Defense Evasion) TA0043 Reconnaissance TA0042 Resource Dev TA0001 Initial Access TA0002 Execution TA0003 Persistence TA0004 Priv. Escalation TA0005 Def. Evasion · Active Scanning · Gather Victim Info · Search Open Sources · Acquire Infra · Compromise Acct · Dev Capabilities · Spearphishing · Drive-by Compr. · Valid Accounts · Cmd Interpreter · PowerShell · User Execution · Scheduled Task · Boot Autostart · Create Account · Bypass UAC · Token Manipul. · Sudo & SetUID · Obfuscation · Ind. Removal · Disable Tools LM: Command & Control (Credential + Discovery + Lateral + C2) Actions on Objectives TA0006 Credential Access TA0007 Discovery TA0008 Lateral Movement TA0011 Command & Control TA0009 Collection TA0010 Exfiltration TA0040 Impact · Brute Force · Credential Dump · Steal Web Token · Account Discovery · Network Sniffing · Process Discovery · Remote Services · Internal Phish · SMB / Win Admin · App Layer Proto · Encrypted Channel · DNS / HTTPS · Email · Audio Capture · Screen Capture · Exfil Over C2 · Exfil to Cloud · Transfer Limit · Data Encrypt. · Destruction · Service Stop ATT&CK struktūra: hierarhija no abstraktā uz konkrēto Tactic (KĀPĒC) Uzbrucēja mērķis - 14 jumtos Technique (KĀ) ~200 tehnikas - vispārēja metode Sub-technique ~400 specifiskākas variācijas Procedure Konkrētā realizācija Piemērs: TA0002 Execution → T1059 Cmd Interpreter → T1059.001 PowerShell → procedūra (konkrēta APT komanda) ATT&CK Navigator (mitre-attack.github.io/attack-navigator) - vizuāls rīks taktiku kartēšanai

Difference from LM

The LM Kill Chain has a linear chain (after → how). ATT&CK is a granular tactical catalogue (which → as → specifically). The attacker can stop, return, repeat phases - so 14 tactics are not necessarily consecutive.

Reference

MITRE ATT&CK Enterprise (attack.mitre.org) · First published in 2013, formally as ATT&CK Matrix 2015 · Updated every 6 months.

Practical use

ATT&CK Navigator - map which techniques your SOC covers with detection. Empty cells = blind strips. Purple team simulates procedures to verify detection.

Volume trap

Covering all ~400 sub-technics is a marathon work. Start from APT groups that target your sector (e.g. FIN7 for finance, Lazarus for energy) rather than all at once.

Unified Kill Chain - Paul Paul 2017/2022

3 phases of 18 phases - merging LM + ATT&CK

Unified Kill Chain 18 fāzes 3 posmos Trīs posmi - Initial Foothold, Network Propagation, Action on Objectives - katrs ar 6, 6 un 6 fāzēm. Unified Kill Chain (UKC) - 18 fāzes, 3 posmi Paul Pols (2017, atjaunināts 2022) - apvieno LM, ATT&CK un citus modeļus vienā struktūrā A. Sākotnējā piekļuve · Initial Foothold Uzbrucējs iegūst pirmo pieturas punktu mērķa vidē 1. Reconnaissance Izlūkošana OSINT, skenēšana 2. Resource Dev. Resursi infrastruktūra, rīki 3. Delivery Piegāde phishing, USB 4. Soc. Engineering Sociālā inženier. manipulācija 5. Exploitation Ekspluatācija CVE, makro 6. Persistence Noturība autorun 7. Def. Evasion Maskēšanās obfuscation B. Tīkla izplatīšanās · Network Propagation Uzbrucējs paplašina pieturas punktu, virzās uz mērķiem tīklā 8. Pivoting Pārvirzīšanās proxy, tunelis 9. Discovery Atklāšana AD, tīkla karte 10. Priv. Escalation Privilēģijas UAC, sudo, token 11. Execution Izpilde PowerShell, WMI 12. Credential Acc. Akreditācijas Mimikatz, LSASS 13. Lateral Movement Sāniska kustība RDP, SMB, Pass-the-Hash C. Mērķu izpilde · Action on Objectives Uzbrucējs sasniedz galveno mērķi (datu zādzība, izspiedējvīrusi, sabotāža) 14. Collection Datu vākšana staging, kompresija, šifrēšana 15. Exfiltration Eksfiltrācija cloud, DNS tunelis, e-pasts 16. Impact Ietekme šifrēšana, iznīcināšana, DoS 17. Command & Ctrl Vadība (caur visu) beacon, tunelis 18. Objectives Mērķu sasniegšana stratēģisks rezultāts Posmi var atkārtoties iteratīvi - 'B' bieži ved atpakaļ uz 'A' (jauna fāze, jauna mērķa pozīcija)

Why 18 phases?

LM 7 phases are too simplified for a modern attack - especially 'after access' activities. UKC divides them into stage B and clearly separates social engineering as a separate phase.

Reference

Paul Paul - Unified Kill Chain (Magical Work, Cybersec Academy, 2017. Updated 2022) · unifiedkillchain.com.

Application

For analysis of modern APT/ransomware operations - where the attacker returns several times between stages A and B (e.g. executes the 2.3, 4. intelligence iteration after each lateral movement).

Complexity

18 phases are more difficult to communicate to management than LM 7 phases. UKC is better suited for technical analysis, LM for presentations and risk communication.

Protection strategy

Courses of Action matrix + Diamond Model + MITRE D3FEND

Courses of Action matrica - 6 darbības × 7 fāzes LM Courses of Action matrica - katrai no 7 fāzēm aizstāvji var piemērot 6 darbību veidus (Detect, Deny, Disrupt, Degrade, Deceive, Destroy). Apakšā - Diamond Model četri stūri. Courses of Action - 6 darbības × 7 fāzes = 42 šūnu matrica LM 2011 - katrai fāzei jāizvēlas, kā tieši aizstāvis to "lauzīs" Recon Weapon Delivery Exploit Install C2 Actions Detect atklāt web logu analīze honeypot YARA noteikumi VT, TI feeds e-pasta sandbox URL reputation EDR uzvedība exploit signāli FIM, autorun EDR persistence DNS / DGA detect NIDS, JA3/JA4 DLP, anomāliju aktivitāšu UEBA Deny liegt ACL, robots.txt tīkla maskēšana - ārpus tīkla SPF/DKIM/DMARC USB liegumi ielāpi, DEP/ASLR app sandbox app allowlisting code signing egress filtrēšana IoC bloķēšana DLP bloķē segmentācija Disrupt izjaukt rate limiting CAPTCHA - ārpus tīkla in-line AV attachment scan HIPS, EMET EDR blokē exploit AV karantīna EDR rollback DNS sinkhole proxy bloks tīkla izolācija EDR isolate-host Degrade apgrūtināt tarpit pakešu aizture - ārpus tīkla greylisting SPAM throttling app sandbox resource limit krātuves kvota JIT izpildes lim. bandwidth limits QoS, throttling datu lieluma lim. eksfilt. throttle Deceive maldināt false DNS reci decoy ports honeyfiles canary tokens e-pasta canary honey accounts honey services decoy CVE honey backdoor fake registry fake C2 redirect honeynet honey-files datu lamatas Destroy iznīcināt juridiski liegts tikai TI takedown - ārpus tīkla URL takedown CSIRT sadarbība faila dzēšana paroles maiņa wipe + reimage no backup C2 sinkhole, TI tiesa-aizturēšana tīkla shutdown IR atjaunošana Diamond Model of Intrusion Analysis (Caltagirone, Pendergast, Betz 2013) Katrs incidents - 4 stūri ar attiecībām · papildina Kill Chain ar atribūciju un kampaņas izsekošanu Adversary Pretinieks Capability Rīki, TTP Victim Upuris Infrastructure C2, IP, domēni Atklājot vienu stūri: · No upura → kapacitāti · No kapacitātes → infra · No infra → citus upurus · Viss kopā → atribūcija D3FEND (MITRE 2021): · Harden (sacietēt) · Detect (atklāt) · Isolate (izolēt) · Deceive (maldināt) · Evict (izlikt)

Courses of Action

6 types of action have no choice - an advocacy strategy ideally covers several stages so that the attacker has several potentially cut-off points.

Diamond Model

Threat intel analysis framework - each incident as a 4-hour ratio. When discovering one corner, you can find the rest. Perfect for tracking campaigns.

D3FEND

MITRE D3FEND (2021) - catalogue of defence activities according to ATT&CK techniques. D3fend.mitre.org - shows for each ATT&CK technique which D3FEND operations neutralise it.

Legal notice

In the 'Destroy' phase carefully - 'hack back' (attack back) is mostly illegal. Authorised: takeown with law enforcement, C2 synkhole, cooperation with CSIRT (Latvia: CERT.LV).

Article 23 NIS2 and Latvian context

Incident reporting to the NKDC - 24h / 72h / 1 month

NIS2 23. panta ziņošanas termiņi un Latvijas iestādes Trīs ziņošanas termiņi pēc būtiska incidenta atklāšanas - 24h agrīns brīdinājums, 72h paziņojums, 1 mēnesis gala ziņojums. Saņēmējs - NKDC (kompetenta iestāde). CERT.LV - tehniskā reaģēšana. NIS2 23. pants - incidentu ziņošanas termiņi Direktīva (ES) 2022/2555 · Nacionālais kiberdrošības likums (NKDL, 2024) Latvijā T₀ incidenta atklāšana 24 stundas Agrīns brīdinājums Early Warning · Prettiesisks/ļaunprātīgs? · Pārrobežu ietekme? 72 stundas Incidenta paziņojums Incident Notification · Sākotnējais novērtējums · IoC, ietekmes apjoms 1 mēnesis Gala ziņojums Final Report · Cēloņi, ietekme · Pretpasākumi nākotnei starpziņojums uz pieprasījumu starpziņojums uz pieprasījumu NKDC - kompetentā iestāde Nacionālais kiberdrošības centrs (Aizsardzības ministrijas pārraudzībā) · Saņem 23. panta ziņojumus no būtiskajiem un nozīmīgajiem subjektiem · Uzrauga NKDL atbilstību, var izsniegt rīkojumus, sodus · Koordinē ar ENISA un citu valstu kompetentajām iestādēm · Vadošā iestāde nacionālajā kiberdrošības stratēģijā CERT.LV - tehniskā reaģēšana Computer Emergency Response Team (NKDC struktūrvienība kopš 2024) · CSIRT funkcijas - tehniskā palīdzība incidentu reaģēšanā · IoC izplatīšana, draudu izlūkošana, brīdinājumi · Brīvprātīga ievainojamību izpaušana (security.txt mehānisms) · cert.lv - publiski brīdinājumi, fishing, paroļu noplūdes

Who should report?

The NKDC shall receive Article 23 reports as a competent authority. CERT.LV - as CSIRT - technical assistance and exchange of IoC. The major incidents must be reported to both NKDC formally, CERT.LV operationally.

Reference

Directive (EU) 2022/2555 Article 23 · National Cybersecurity Act (LV, 2024) · Cabinet rules (preparation) for material/significant categories of entities.

Practical link with Kill Chain

When the attacker reaches phase 6-7 (C2, Actions) - usually a 'major incident' by definition of NIS2. T0 = time of detection and not the moment of initiation - therefore early detection = more time for response.

Penalties

NIS2 provides for administrative penalties of up to 10 million euros or 2% of the global annual turnover (relevant subjects) and 7 million / 1.4% (important). Non-notification is an independent violation - even if the incident itself is not the result of a crime.

T+24h
Early warning
Early Warning · NIS2 23(4) (a)

Initial notification to the NKDC of a significant incident, whether it is unlawful/mistakeable or affecting cross-border services.

Content suspected abuse, initial characteristics
T+72h
Incident notification
Incident Notification · NIS2 23(4)(b)

A more detailed report to the NKDC with an initial assessment, impact volume, compromise indicators (IoC) and counter-measures taken.

Content original root cause, effect, IoC, status
T+1m
Final report
Final Report · NIS2 23(4)(c)

Full final report - detailed description of the incident, causes, impacts, counter-measures taken and planned, lessons for the future.

Content full analysis, root cause assessment, corrective measures