[TOC] ## 1. Cyber kill chain là gì ? Cyber Kill Chain(Chuỗi Tiêu Diệt Mạng) là một mô hình được phát triển bởi Lockheed Martin vào năm 2011, lấy cảm hứng từ khái niệm Military Kill Chain. Mô hình này mô tả các giai đoạn của một cuộc tấn công mạng, từ giai đoạn chuẩn bị ban đầu cho đến khi kẻ tấn công đạt được mục tiêu cuối cùng, chẳng hạn như xâm nhập hệ thống hoặc đánh cắp dữ liệu. Thông qua việc phân tách cuộc tấn công thành từng giai đoạn, Cyber Kill Chain cung cấp cho người phòng thủ cái nhìn tổng thể về chiến thuật và kỹ thuật của đối thủ, từ đó hỗ trợ việc phát hiện, ngăn chặn và phản ứng kịp thời. ## 2. Các giai đoạn của cyber kill chain ### 2.1 Reconnaissance Reconnaissance là giai đoạn đầu tiên kẻ tấn công sẽ thu thập thông tin về mục tiêu của nạn nhân, bao gồm các thông tin về hệ thống mạng, dữ liệu, nhân viên,.. Thông tin này sẽ giúp chúng xác định lỗ hổng bảo mật có thể khai thác. Chúng sử dụng một số công cụ, kỹ thuật, cũng như các tính năng duyệt web thường xuyên như: * Sử dụng các công cụ tìm kiếm như google,firefox * WHOIS - dùng để tra cứu thông tin đăng ký tên miền, địa chỉ ip * Packet sniffers (Wireshark, tcpdump, WinDump) * Sử dụng lệnh Ping,DIG để thu thập thông tin về hệ thống * Quét các cổng ở trên máy mục tiêu Reconnaissance gồm 2 phương pháp: Passive Reconnaissance (Thụ động): * Không tương tác trực tiếp với mục tiêu, không để lại dấu vết * Kỹ thuật: OSINT (thu thập từ nguồn công khai), WHOIS lookup, social media research, Google dorking * Tools: TheHarvester, Hunter[.]io, Shodan, Maltego Active Reconnaissance (Chủ động): * Tương tác trực tiếp với hệ thống, có thể kích hoạt cảnh báo * Kỹ thuật: Port scanning, vulnerability scanning, DNS enumeration, network mapping * Tools: Nmap, Nessus, Metasploit ### 2.2 Weaponization Sau khi hoàn tất giai đoạn thu thập thông tin (Reconnaissance), kẻ tấn công bước vào giai đoạn Weaponization. Đây là giai đoạn chuẩn bị và vũ khí hóa công cụ tấn công, nhằm biến các khả năng khai thác thành vũ khí có thể triển khai hiệu quả trong thực tế. Weaponization tập trung vào công cụ tấn công sẽ được sử dụng ở các giai đoạn sau. Mục tiêu chính của giai đoạn này là tạo ra hoặc tùy chỉnh payload sao cho có thể thực thi thành công, duy trì hoạt động và tránh bị phát hiện bởi các cơ chế bảo mật. Các phương thức weaponization phổ biến bao gồm: * Tự phát triển malware mới: Các nhóm tấn công có chủ đích (APT – Advanced Persistent Threat) thường xây dựng malware riêng với mã độc tùy chỉnh và các kỹ thuật né tránh phát hiện (evasion techniques) nhằm vượt qua antivirus, EDR và hệ thống giám sát. * Mua malware từ các nguồn ngầm: Kẻ tấn công có thể mua exploit kits, RATs(Remote Access Trojan) hoặc mô hình malware-as-a-service từ các chợ đen trên dark web để tiết kiệm thời gian và triển khai nhanh. * Tùy chỉnh malware có sẵn: Malware mã nguồn mở hoặc các công cụ phổ biến có thể được chỉnh sửa, obfuscate hoặc pack lại để phù hợp với mục tiêu cụ thể và giảm khả năng bị phát hiện. ### 2.3 Delivery Trong giai đoạn Delivery, kẻ tấn công chuyển payload hoặc công cụ tấn công đến hệ thống mục tiêu thông qua nhiều phương thức khác nhau. Các phương thức phổ biến bao gồm email phishing, tệp đính kèm độc hại, các trang web bị xâm phạm (compromised websites), thiết bị lưu trữ ngoài như USB, hoặc các kênh truyền tải khác. Ví dụ: Một hình thức Delivery phổ biến là thông qua email phishing với tệp đính kèm chứa macro độc hại. Trong đó, kẻ tấn công gửi email giả mạo kèm theo một tệp Microsoft Office như Word hoặc Excel. Tệp đính kèm được nhúng macro độc hại, nhưng macro này chỉ được kích hoạt khi người dùng mở tài liệu và cho phép chức năng “Enable Content”. Khi macro được thực thi, nó có thể tải payload từ máy chủ của kẻ tấn công hoặc trực tiếp thực thi mã độc trên hệ thống nạn nhân. ### 2.4 Exploitation Trong giai đoạn Exploitation, kẻ tấn công khai thác các lỗ hổng hoặc điểm yếu đã được xác định trong giai đoạn trinh sát để kích hoạt payload và giành quyền thực thi mã trên hệ thống mục tiêu. Các lỗ hổng này có thể tồn tại trong phần mềm, dịch vụ mạng, ứng dụng web hoặc cấu hình hệ thống không an toàn. Mục tiêu chính của giai đoạn Exploitation là thiết lập quyền thực thi ban đầu, cho phép kẻ tấn công chạy mã độc trong ngữ cảnh của hệ thống hoặc người dùng. Việc khai thác có thể xảy ra thông qua nhiều hình thức như khai thác lỗ hổng phần mềm, lạm dụng tính năng hợp pháp (living-off-the-land), hoặc kích hoạt mã độc thông qua các cơ chế đã được chuẩn bị từ giai đoạn Delivery. Khi quá trình khai thác thành công, hệ thống mục tiêu chuyển từ trạng thái chưa bị xâm nhập sang trạng thái đã bị kiểm soát ban đầu, tạo tiền đề cho các giai đoạn tiếp theo như cài đặt backdoor, leo thang đặc quyền và duy trì quyền truy cập. ### 2.5 Installation Sau khi khai thác thành công hệ thống mục tiêu, kẻ tấn công tiến hành giai đoạn Installation nhằm cài đặt thêm các thành phần độc hại để duy trì sự hiện diện trên hệ thống. Mục tiêu của giai đoạn này là thiết lập một điểm đặt chân (foothold) ổn định, cho phép các hoạt động tấn công tiếp theo được thực hiện một cách liên tục. Trong giai đoạn này, kẻ tấn công có thể cài đặt các loại malware như trojan tạo backdoor. Các thành phần này cho phép hệ thống bị xâm nhập tiếp tục thực thi mã độc và tạo điều kiện cho việc điều khiển từ xa trong các giai đoạn tiếp theo, ngay cả khi điểm xâm nhập ban đầu bị phát hiện và vô hiệu hóa. ### 2.6 Command and Control Command and Control (C2) là giai đoạn mà kẻ tấn công đã thiết lập kênh giao tiếp với hệ thống bị xâm phạm, cho phép gửi lệnh, nhận phản hồi và thu thập dữ liệu từ mục tiêu. Giai đoạn này đóng vai trò then chốt trong việc duy trì quyền kiểm soát và điều khiển hệ thống trong thời gian dài. Trong giai đoạn C2, malware trên máy nạn nhân thường chủ động kết nối ngược (reverse connection) về máy chủ của kẻ tấn công để nhận lệnh. Các kênh C2 có thể được thiết kế nhằm né tránh phát hiện bằng cách sử dụng các giao thức hợp pháp (HTTP/HTTPS, DNS), mã hóa lưu lượng hoặc cơ chế beacon định kỳ. Beacon là cơ chế giao tiếp định kỳ giữa phần mềm độc hại trên máy bị nhiễm và máy chủ Command & Control (C2), nhằm duy trì kết nối và nhận lệnh từ kẻ tấn công. Ví dụ: Mirai là một loại malware nhắm vào các thiết bị IoT như camera IP, router hoặc DVR chạy hệ điều hành Linux. Sau khi lây nhiễm thành công, các thiết bị bị nhiễm Mirai sẽ gửi tín hiệu beacon về máy chủ C2 để thiết lập kết nối. Thông qua kênh Command and Control này, botmaster có thể điều khiển hàng loạt thiết bị bị nhiễm (botnet hoặc zombie) để thực hiện các cuộc tấn công DDoS, tạo ra lưu lượng truy cập lớn nhằm làm tê liệt hệ thống mục tiêu. ### 2.7 Actions on Objective Actions on Objectives là giai đoạn cuối cùng trong chuỗi Cyber Kill Chain, trong đó kẻ tấn công thực hiện các hành động nhằm đạt được mục tiêu cuối cùng của cuộc tấn công sau khi đã thiết lập được mức truy cập cần thiết vào hệ thống mục tiêu. Tùy thuộc vào động cơ và mục tiêu ban đầu, các hành động này có thể bao gồm đánh cắp dữ liệu nhạy cảm, làm gián đoạn hoạt động của hệ thống, gây tổn hại đến danh tiếng của tổ chức, hoặc triển khai mã độc ransomware để tống tiền. Đây là giai đoạn phản ánh rõ nhất mục đích thực sự của cuộc tấn công, đồng thời cũng là giai đoạn gây ra thiệt hại trực tiếp cho nạn nhân. ## 3. Tác động của cyber kill chain trong an ninh mạng Cyber kill chain có thể giúp hiểu được cách mà các tác nhân đe doạ(threat actor) lên kế hoạch và tiến hành các cuộc tấn công của chúng từ đó giúp các chuyên gia bảo mật có thể tìm và giảm thiểu các lỗ hổng trong toàn bộ tổ chức. Nó cũng có thể xác định được dấu hiệu xâm phạm của một cuộc tấn công mạng ở giai đoạn sớm nhất ## 4. Lợi ích của cyber kill chain * Xác định mối đe doạ ở mọi giai đoạn của cuộc tấn công mạng * Cung cấp cái nhìn tổng quan có cấu trúc về các cuộc tấn công mạng. * Cải thiện việc phát hiện và ngăn chặn sớm. * Hỗ trợ phân tích và ứng phó sự cố * Tăng cường chiến lược phòng thủ và xây dựng kế hoạch an ninh * Tạo điều kiện cho việc thu thập tình báo mối đe doạ(threat intelligence) và hồ sơ kẻ tấn công ## 5. Những hạn chế, thách thức đối với cyber kill chain Mặc dù hiểu được mô hình cyber kill chain giúp cho các tổ chức và chính phủ có thể chuẩn bị và phản hồi sự cố một cách chủ động đối với các mối đe doạ phức tạp, nhưng việc chỉ dựa vào nó có thể khiến công ty, tổ chức dính phải các kiểu tấn công khác. Một số hạn chế của mô hình này là: * Tập trung vào phần mềm độc hại: Tại thời điểm 2011 mô hình được thiết kế để phân tích các cuộc tấn công APT, mà trong đó các phần mềm độc hại là yếu tố chính nên nó không thể chống lại các kiểu tấn công khác một cách hiệu quả, có thể kể đến như người dùng trái phép có được quyền truy cập nhờ thông tin đăng nhập bị xâm phạm * Không áp dụng cho các mối đe doạ nội bộ: Người trong cuộc có quyền hợp pháp truy cập vào hệ thống nên khó phát hiện khi dựa vào mô hình cyber kill chain, thay vào đó các tổ chức nên giám sát, phân tích hành vi của người dùng và phát hiện những hoạt động bất thường * Mô hình quá tuyến tính: Mặc dù nhiều cuộc tấn công diễn ra đúng theo mô hình tuy nhiên cũng có rất nhiều cuộc tấn công không diễn ra đúng 7 bước, có thể gộp hết lại vào 1 hành động, hoặc có thể giảm thiểu các bước. * Thiếu bối cảnh hành vi chi tiết: cyber kill chain mô tả khi nào một giai đoạn xảy ra nhưng không đi sâu vào việc kẻ tấn công làm gì cụ thể, hạn chế khả năng phân tích chi tiết so với MITRE ATT&CK ## Tài liệu tham khảo https://www.darktrace.com/cyber-ai-glossary/cyber-kill-chain https://www.microsoft.com/en-us/security/business/security-101/what-is-cyber-kill-chain https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html