--- title: "Unified Kill Chain Documentation" disqus: hackmd --- # Unified Kill Chain (UKC) ## Table of Contents [TOC] --- # 1. Giới thiệu Việc hiểu hành vi, động cơ và phương pháp tấn công là nền tảng để xây dựng một cybersecurity posture mạnh. Unified Kill Chain (UKC) giúp mô tả toàn bộ tiến trình tấn công từ đầu đến cuối, phục vụ phân tích và phòng thủ. --- # 2. Kill Chain là gì? Kill Chain bắt nguồn từ quân sự: mô tả chuỗi bước của một cuộc tấn công. Trong cybersecurity, nó mô tả **chuỗi hành vi hacker/APT thực hiện khi xâm nhập mục tiêu**, ví dụ: - Quét mục tiêu - Khai thác lỗ hổng - Leo thang đặc quyền Hiểu chuỗi này giúp tổ chức **chặn trước**, hoặc **phá giữa chừng** khi kẻ tấn công còn chưa đạt mục tiêu. --- # 3. Threat Modelling ## 3.1 Xác định tài sản (Asset) Xác định hệ thống, dịch vụ, ứng dụng, dữ liệu quan trọng. ## 3.2 Phân tích rủi ro & lỗ hổng Tìm điểm yếu và xem chúng có thể bị khai thác như thế nào. ## 3.3 Xây dựng kế hoạch bảo vệ Lên kế hoạch khắc phục, vá lỗi, thêm cơ chế kiểm soát. ## 3.4 Ngăn ngừa tái diễn Ví dụ: SDLC, training phishing, review định kỳ. UKC hỗ trợ threat modelling bằng cách cho thấy **attack surface** và cách bị khai thác. --- # 4. Tổng quan Unified Kill Chain - Công bố bởi Paul Pols năm **2017** (cập nhật 2022) - Gồm **18 phase** - Bổ sung cho MITRE và Cyber Kill Chain - Mô tả toàn bộ attacker lifecycle, kể cả việc **attacker quay lại phase trước** --- # 5. PHASE 1 – IN (Initial Foothold) Mục tiêu: **xâm nhập** và tạo foothold ban đầu trong hệ thống. --- ## 5.1 Reconnaissance Thu thập thông tin qua passive & active recon. Thông tin thu được có thể gồm: - Dịch vụ/ứng dụng đang chạy - Danh sách nhân viên (phục vụ social engineering) - Credentials lộ lọt - Network topology (dùng để pivot) --- ## 5.2 Weaponization Chuẩn bị hạ tầng cho cuộc tấn công. Bao gồm: - Tạo command & control server - Chuẩn bị payload (reverse shell, macro độc) - Listener, dropper, hạ tầng deliver malware --- ## 5.3 Social Engineering Tấn công vào yếu tố con người. Ví dụ: - Email độc hại có đính kèm file - Giả website đăng nhập - Gọi điện giả IT xin reset mật khẩu - Thâm nhập vật lý bằng danh tính giả --- ## 5.4 Exploitation Khai thác lỗ hổng để thực thi mã. Ví dụ: - Upload reverse shell qua web vuln - Lợi dụng script misconfig để chạy mã - RCE do lỗ hổng web app --- ## 5.5 Persistence Duy trì truy cập về sau. Ví dụ: - Tạo service độc chạy nền - Đặt máy vào hệ thống C2 - Backdoor chạy khi admin đăng nhập --- ## 5.6 Defence Evasion Lẩn tránh hệ thống phòng thủ. Bao gồm: - Né firewall/WAF - Vô hiệu hóa AV - Tránh IDS/IPS - Encrypt/pack payload --- ## 5.7 Command & Control (C2) Thiết lập liên lạc giữa attacker ↔ victim. Ví dụ: - Reverse TCP shell - HTTPS beacon - Tunnel mã hóa - Custom protocol Có thể dùng để chạy lệnh, lấy dữ liệu, pivot. --- ## 5.8 Pivoting Di chuyển từ máy ban đầu sang máy **không thể truy cập trực tiếp**. Ví dụ: - Web server → database nội bộ - SSH/HTTP tunnel để thâm nhập deeper network --- # 6. PHASE 2 – THROUGH (Network Propagation) Sau khi có foothold, attacker sẽ **mở rộng phạm vi** và **leo thang quyền**. --- ## 6.1 Pivoting Duy trì pivot host để: - Làm proxy - Chuyển toàn bộ traffic - Phát tán malware --- ## 6.2 Discovery Thu thập thông tin mạng nội bộ: - User, nhóm quyền - Ứng dụng, version - Browser history, cookie, session - SMB shares, file server - System config --- ## 6.3 Privilege Escalation Leo quyền để có nhiều khả năng tấn công hơn. Mục tiêu: - SYSTEM/ROOT - Local admin - User đặc quyền (backup operator…) Cách thực hiện: - Misconfiguration - Unpatched vulnerabilities - Credential reuse --- ## 6.4 Execution Triển khai mã độc/chạy script độc. Bao gồm: - Trojan - C2 script - PsExec/WMI - Scheduled task --- ## 6.5 Credential Access Đánh cắp thông tin đăng nhập. Phương pháp: - Keylogging - LSASS dump - Mimikatz - Token/session stealing --- ## 6.6 Lateral Movement Di chuyển ngang sang máy khác. Kỹ thuật: - SMB + reused credentials - RDP - Pass-the-Hash / Pass-the-Ticket - WinRM/WMI --- # 7. PHASE 3 – OUT (Action on Objectives) Attacker đạt quyền sâu và giờ thực hiện mục tiêu thật sự. --- ## 7.1 Collection Thu thập dữ liệu giá trị: - File hệ thống - Email - Tài liệu nội bộ - Browser data --- ## 7.2 Exfiltration Đưa dữ liệu ra ngoài qua: - Tunnel C2 - HTTP/DNS exfil - Nén & mã hóa --- ## 7.3 Impact Tấn công vào **Integrity** và **Availability**. Ví dụ: - Wipe ổ đĩa - Xóa tài khoản - DDoS - Deface website - Ransomware --- ## 7.4 Objectives Đạt mục tiêu cuối cùng: - Kiếm tiền (ransom) - Gián điệp - Phá danh tiếng tổ chức - Đánh cắp dữ liệu & rao bán - Sabotage hệ thống --- # 9. Kết luận Unified Kill Chain là framework toàn diện để phân tích và tái dựng tiến trình tấn công. Nó giúp SOC, DFIR và Threat Hunting hiểu rõ attacker lifecycle và xây dựng phòng thủ hiệu quả hơn. ## Appendix and FAQ Bạn có thể thể tham khảo thêm 3 room [Principles of Security](https://tryhackme.com/room/principlesofsecurity) [Pentesting Fundamentals](https://tryhackme.com/room/pentestingfundamentals) [Cyber Kill Chain](https://tryhackme.com/room/cyberkillchainzmt)