analyzing-cyber-kill-chain

根据 Lockheed Martin Cyber Kill Chain 框架分析入侵活动,识别对手已完成的阶段、防御成功或失败的位置,以及哪些控制措施本可在更早阶段中断攻击。适用于事后分析、构建以预防为中心的安全控制,或将检测差距映射到杀伤链阶段时使用。

9 stars

Best use case

analyzing-cyber-kill-chain is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

根据 Lockheed Martin Cyber Kill Chain 框架分析入侵活动,识别对手已完成的阶段、防御成功或失败的位置,以及哪些控制措施本可在更早阶段中断攻击。适用于事后分析、构建以预防为中心的安全控制,或将检测差距映射到杀伤链阶段时使用。

Teams using analyzing-cyber-kill-chain should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/analyzing-cyber-kill-chain/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/analyzing-cyber-kill-chain/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/analyzing-cyber-kill-chain/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How analyzing-cyber-kill-chain Compares

Feature / Agentanalyzing-cyber-kill-chainStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

根据 Lockheed Martin Cyber Kill Chain 框架分析入侵活动,识别对手已完成的阶段、防御成功或失败的位置,以及哪些控制措施本可在更早阶段中断攻击。适用于事后分析、构建以预防为中心的安全控制,或将检测差距映射到杀伤链阶段时使用。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 分析 Cyber Kill Chain

## 适用场景

在以下情况下使用本技能:
- 开展事后分析,确定对手在攻击序列中推进了多远
- 设计分层防御控制,目标是在尽可能早的阶段中断攻击
- 生成威胁情报报告,向非技术利益相关方传达攻击进展

**不适用于**将本技能作为独立框架使用——应与 MITRE ATT&CK 结合使用,获取超越 7 阶段杀伤链所提供的技术级颗粒度。

## 前置条件

- 包含映射到特定对手行动的取证工件的完整事件时间线
- MITRE ATT&CK Enterprise 矩阵,用于每个杀伤链阶段内的技术级映射
- 访问疑似对手组织典型杀伤链进展的威胁情报
- 响应团队提供的事后报告或 IR 时间线

## 工作流程

### 步骤 1:将观察到的行动映射到杀伤链阶段

Lockheed Martin Cyber Kill Chain 包含七个阶段。映射所有观察到的对手行动:

**阶段 1 - 侦察(Reconnaissance)**:对手在攻击前收集目标信息。
- 指标:来自对手 IP 的 DNS 查询、LinkedIn 抓取、职位发布分析、对组织基础设施进行 Shodan 扫描

**阶段 2 - 武器化(Weaponization)**:对手创建攻击工具(恶意软件 + 漏洞利用)。
- 指标:恶意软件编译时间戳、漏洞利用文档元数据、恶意软件样本中的构建器工件

**阶段 3 - 投递(Delivery)**:对手将武器传输至目标。
- 指标:钓鱼邮件、恶意附件、水坑下载、USB 投递、供应链攻击(Supply Chain Attack)

**阶段 4 - 漏洞利用(Exploitation)**:对手利用漏洞执行代码。
- 指标:应用/OS 日志中的 CVE 利用事件、内存破坏工件、shellcode 执行

**阶段 5 - 安装(Installation)**:对手在目标上建立持久化(Persistence)。
- 指标:新的计划任务、注册表运行键、服务安装、Web Shell、Bootkit

**阶段 6 - 命令与控制(C2)**:对手与被攻陷系统通信。
- 指标:信标流量(固定间隔)、DNS 隧道、HTTPS 到非常见域名、C2 框架特征(Cobalt Strike、Sliver)

**阶段 7 - 目标行动(Actions on Objectives)**:对手实现目标。
- 指标:数据暂存/外泄(Exfiltration)、横向移动(Lateral Movement)、勒索软件(Ransomware)执行、破坏性活动

### 步骤 2:识别阶段完成情况和检测点

为事件创建阶段矩阵:
```
阶段 1: 侦察        → 已完成(未检测到)
阶段 2: 武器化      → 已完成(未检测到 — 攻击前活动)
阶段 3: 投递        → 已完成;钓鱼邮件绕过了安全邮件网关
阶段 4: 漏洞利用    → 已完成;CVE-2023-23397 被利用
阶段 5: 安装        → 已检测:EDR 标记了计划任务创建(攻击在此阻断)
阶段 6: C2          → 未达成(安装被阻断)
阶段 7: 目标行动    → 未达成
```

对每个未经检测就完成的阶段,记录防御控制差距。

### 步骤 3:映射到 MITRE ATT&CK 获取技术详情

每个杀伤链阶段映射到多个 ATT&CK 战术:
- 投递 → 初始访问 (TA0001)
- 漏洞利用 → 执行 (TA0002)
- 安装 → 持久化 (TA0003)、权限提升 (TA0004)
- C2 → 命令与控制 (TA0011)
- 目标行动 → 数据外泄 (TA0010)、影响 (TA0040)

在每个阶段内,枚举观察到的具体 ATT&CK 技术并映射到现有检测能力。

### 步骤 4:识别每个阶段的行动方案

对每个阶段,记录适用的防御行动方案(COA):
- **检测 COA**:哪种检测能够对该阶段的对手活动发出告警?
- **拒止 COA**:哪种控制能够阻止对手完成该阶段?
- **干扰 COA**:哪种控制能够在阶段中途中断对手?
- **降级 COA**:哪种控制能够降低对手在该阶段的有效性?
- **欺骗 COA**:哪种欺骗手段(蜜罐、金丝雀令牌)能够暴露该阶段的活动?
- **摧毁 COA**:哪种主动防御能力能够中和对手基础设施?

### 步骤 5:生成杀伤链分析报告

按以下结构组织发现结果:
1. 攻击叙述(阶段时间线)
2. 逐阶段分析及证据
3. 检测点分析(何处成功,何处失败)
4. 按成本/效益优先排序的逐阶段防御建议
5. 控制改进路线图

## 核心概念

| 术语 | 定义 |
|------|-----------|
| **杀伤链(Kill Chain)** | 对手入侵阶段的顺序模型;从理论上讲,断开任何环节即可阻止攻击 |
| **行动方案(COA)** | 映射到每个杀伤链阶段的防御响应:检测、拒止、干扰、降级、欺骗、摧毁 |
| **信标(Beaconing)** | 被攻陷主机向对手服务器定期发送 C2 心跳包的模式;可通过频率分析检测 |
| **阶段完成** | 对手成功完成一个杀伤链阶段并推进到下一阶段;纵深防御旨在阻止这一点 |
| **情报获取/损失** | 分析在阶段 5(而非阶段 3)检测是否减少了对对手能力或意图的情报 |

## 工具与系统

- **MITRE ATT&CK Navigator**:将杀伤链阶段与 ATT&CK 技术覆盖叠加以进行综合分析
- **Elastic Security EQL**:事件查询语言,用于在 Elastic SIEM 中查询多阶段攻击序列
- **Splunk ES**:时间线可视化和杀伤链阶段排序的关联搜索
- **MISP**:通过 galaxy 集群进行杀伤链标记,用于结构化事件文档

## 常见陷阱

- **线性假设**:对手并不总是线性推进——他们可能跳过阶段(武器化已在之前的攻击活动中完成)或回退(检测后重新建立 C2)。
- **忽略阶段 1 和 2**:侦察和武器化在防御者拥有可见性之前就已发生。了解这些阶段的情报需要外部来源(OSINT、威胁情报)。
- **遗漏内部威胁**:杀伤链是为外部对手设计的。内部威胁可能直接跳到阶段 7,而无需经历早期阶段。
- **与 ATT&CK 战术混淆**:7 阶段杀伤链和 14 个 ATT&CK 战术是互补的,但并非直接等价。保持区分以避免分析混乱。

Related Skills

performing-supply-chain-attack-simulation

9
from killvxk/cybersecurity-skills-zh

模拟和检测软件供应链攻击,包括通过 Levenshtein 距离检测域名抢注(Typosquatting)、针对私有注册表的依赖混淆(Dependency Confusion)测试、使用 pip 进行包哈希验证,以及使用 pip-audit 扫描已知漏洞。

performing-power-grid-cybersecurity-assessment

9
from killvxk/cybersecurity-skills-zh

本技能涵盖对电力电网基础设施进行网络安全评估,包括发电设施、输电变电站、配电系统和能源管理系统(EMS)控制中心。涉及NERC CIP合规性验证、变电站自动化安全、IEC 61850协议分析、同步相量(PMU)网络安全,以及Industroyer/CrashOverride等攻击所展示的针对电网运营的独特威胁格局。

performing-oil-gas-cybersecurity-assessment

9
from killvxk/cybersecurity-skills-zh

本技能涵盖针对石油和天然气设施(包括上游探采、中游管道运输和下游炼化分销)进行网络安全评估。内容涉及控制管道运营的SCADA系统、炼厂过程控制DCS、危险工艺安全仪表系统、无人井口现场RTU,以及对API 1164、TSA管道安全指令、IEC 62443和NIST网络安全框架关键基础设施合规性评估。

implementing-zero-standing-privilege-with-cyberark

9
from killvxk/cybersecurity-skills-zh

部署 CyberArk Secure Cloud Access,通过基于时间、权限和审批控制的即时访问,在混合云和多云环境中消除常设权限。

implementing-supply-chain-security-with-in-toto

9
from killvxk/cybersecurity-skills-zh

使用 in-toto 框架为容器构建流程实施软件供应链(Supply Chain)完整性验证,在 CI/CD 流水线各步骤创建经过密码学签名的证明(Attestation)。

implementing-privileged-access-management-with-cyberark

9
from killvxk/cybersecurity-skills-zh

部署 CyberArk 特权访问管理,对企业基础设施中的特权凭据进行发现、保管、轮换和监控。涵盖保险库架构、会话隔离、凭据轮换策略,以及与 NIST 800-53 访问控制要求的集成。

implementing-log-integrity-with-blockchain

9
from killvxk/cybersecurity-skills-zh

使用 SHA-256 哈希链构建仅追加式日志完整性链以实现篡改检测。每条日志条目与前一条条目的哈希值 一起进行哈希运算,形成类似区块链的结构,修改任一条目将使后续所有哈希值失效。 实现日志摄取、链完整性验证、精确定位的篡改检测,以及定期向外部时间戳服务锚定检查点。

implementing-attack-path-analysis-with-xm-cyber

9
from killvxk/cybersecurity-skills-zh

部署 XM Cyber 持续暴露管理平台,映射攻击路径、识别阻塞点(Choke Points),并对威胁关键资产的 2% 高风险暴露点进行优先排序。

hunting-for-supply-chain-compromise

9
from killvxk/cybersecurity-skills-zh

狩猎供应链入侵指标,包括木马化软件更新、受损依赖项、未授权代码修改和被篡改的构建产物。

detecting-supply-chain-attacks-in-ci-cd

9
from killvxk/cybersecurity-skills-zh

扫描 GitHub Actions 工作流和 CI/CD 流水线配置,检测供应链攻击(Supply Chain Attack)向量, 包括未固定的 Action 版本、通过表达式的脚本注入、依赖混淆(Dependency Confusion)和密钥泄露。 使用 PyGithub 和 YAML 解析进行自动化审计。适用于加固 CI/CD 流水线或调查被攻击的构建系统。

analyzing-windows-shellbag-artifacts

9
from killvxk/cybersecurity-skills-zh

分析 Windows ShellBag 注册表取证痕迹,使用 SBECmd 和 ShellBags Explorer 重建文件夹浏览活动,检测对可移动介质和网络共享的访问,并在删除后仍能确认用户与目录的交互行为。

analyzing-windows-registry-for-artifacts

9
from killvxk/cybersecurity-skills-zh

提取并分析 Windows 注册表配置单元,以发现用户活动、已安装软件、自启动条目及系统入侵证据。