文章总结： 文章剖析了传统网络杀伤链的局限，提出统一杀伤链（UKC）这一18阶段元模型。UKC涵盖进入、穿过、退出三个周期，精准模拟现代攻击的非线性迭代与内部横向移动，弥补了传统模型对入侵后活动描述的不足。文章还阐明了UKC与MITREATT&CK及钻石模型的互补关系，建议将其作为战略框架以构建全面防御体系。 综合评分： 95 文章分类： 威胁情报,红队,安全建设

杀伤链：真正模拟现代攻击的18阶段框架

原创

破天KK

KK安全说

2025年12月28日 10:40 北京

初代冠军：网络杀戮链

洛克希德·马丁公司于 2011 年发布的《网络杀伤链》具有革命性意义。其七阶段模型（侦察、武器化、投放、利用、安装、指挥与控制、目标行动）为防御者提供了一种结构化的方法，将攻击视为一个过程，而不是孤立的事件。

这一框架塑造了一代人的安全思维。

它引入了主动防御的理念。如果能够探测到侦察活动或在武器载荷运送过程中将其拦截，就有可能彻底阻止攻击。安全团队围绕每个阶段构建了检测策略。威胁情报报告根据攻击链阶段整理调查结果。这种模式曾经非常有效……但只是暂时的。

但随着威胁形势的变化，裂痕开始显现。

批评意见一：对边界和恶意软件的关注

最初的网络杀伤链是针对特定的威胁模型构建的：外部攻击者利用恶意软件突破网络边界。而现代威胁并不遵循这些规则。

• 在2020年SolarWinds供应链攻击事件中，攻击者无需突破系统边界，因为他们已经通过可信的软件更新潜入系统内部。此次攻击完全绕过了侦察、武器化和投放阶段。
• 以内部威胁为例，攻击者是拥有有效凭证的合法用户。由于他们无需利用任何漏洞，因此不存在“利用”阶段。他们已经拥有访问权限。
• 云原生攻击带来了另一重挑战。当基础设施部署在 AWS 或 Azure 上时，“边界”究竟意味着什么？在我对云入侵事件的分析中，攻击者通常通过暴露的管理接口或配置错误的身份提供商获取访问权限，完全绕过了传统的“武器化”和“交付”阶段。

这种对初始访问的关注造成了一个巨大的盲点：入侵之后会发生什么？

第七个也是最后一个阶段，“目标行动”，基本上是一个黑匣子。它没有描述现代入侵行动中常见的数周或数月的内部侦察、横向移动和权限升级过程。

APT组织不会突破防御边界就立即达成目标。他们会建立持久化防御、绘制网络地图、提升权限、横向移动，并在发动攻击前精心部署。然而，网络杀伤链却将整个入侵后的阶段视为一个单一步骤。

批评之二：确定性序列假设

网络杀伤链假设攻击遵循线性、确定性的顺序。切断其中一个环节，就能阻止攻击。

但真正的攻击者不会按部就班地执行脚本。他们会随机应变，反复经历各个阶段，并并行执行多个操作。攻击者可能先建立初始访问权限，然后返回侦察阶段绘制内部网络地图。他们甚至可能完全跳过武器化阶段，直接利用现有资源进行攻击。

2017 年的 NotPetya 攻击完美地诠释了这一点。该恶意软件同时通过多种途径传播：被入侵的软件更新（供应链）、利用 EternalBlue 漏洞（技术手段）以及窃取凭证进行横向移动（入侵后）。它的传播过程并非遵循固定的顺序，而是一系列并行发生的重叠阶段。

现代勒索软件攻击同样混乱不堪。

• 初始访问代理将凭证出售给勒索软件运营者，完全绕过了攻击链的前六个阶段。
• 随后，攻击者会进行广泛的内部侦察、横向移动和数据窃取，然后再部署勒索软件。
• 实际的勒索软件部署是攻击的第 17 或 18 阶段，而不是第 7 阶段。

这种僵化的顺序假设与现实不符。攻击者会不断迭代，不断尝试，失败后再次尝试。攻击链模型需要考虑到这种灵活性。

这两个批评意见——侧重于外围防御和假设线性序列——并非无关紧要的小问题。它们代表了网络杀伤链模型在分析现代威胁方面的根本缺陷，限制了其效用。该模型需要的是演进，而不仅仅是改进。

进入统一杀伤链：现代威胁的元模型

2017年，保罗·波尔斯发表了《统一杀伤链》，从根本上重新定义了网络攻击的建模方式。波尔斯创建了一个元框架，将网络杀伤链、MITRE ATT&CK 等概念综合起来，形成一个全面而灵活的结构，能够应对现代攻击的复杂性。

UKC的创新之处在于它明确认识到攻击并非线性过程，而是迭代式的行动，攻击者会根据发现的情况不断调整策略。这种从确定性链式结构到灵活生命周期的理念转变，更好地反映了复杂威胁行为者实际的运作方式。

该框架将 18 个不同的阶段组织成三个战略周期，在最关键的地方提供了精细度，尤其是在入侵后活动中，这些活动消耗了 APT 的大部分运营时间。

三个循环：进入、穿过和退出

统一杀伤链将十八个不同的阶段组织成三个周期，代表敌方战略的进展。

进入周期（阶段 1-8）：获得准入和站稳脚跟

1. 侦察——收集有关目标的信息
2. 武器化——准备攻击工具和有效载荷
3. 社会工程——操纵目标人群（原始模型中缺少这一明确阶段）
4. 投送——发射武器化载荷
5. 利用漏洞——触发漏洞以获取执行权限
6. 持久性——在重启和凭据更改后仍能保持访问权限
7. 防御规避——避免被安全控制措施检测到
8. 指挥与控制——建立通信渠道

贯穿循环（阶段 9-14）：内部传播和定位

UKC 的真正优势在于它能够明确地模拟泄露后的活动：

1. 转型——利用受损系统作为跳板
2. 发现——绘制内部网络图，识别资产
3. 权限提升——获取更高级别的访问权限
4. 执行——在其他系统上运行恶意代码
5. 凭证访问——窃取密码和身份验证材料
6. 横向移动——通过网络扩散以到达目标

这六个阶段代表了老练的攻击者花费时间最多的阶段。在APT攻击事件中，攻击者通常会反复经历“发现→凭证获取→横向移动→发现”这六个阶段，逐步绘制并控制内部网络。

这也是大多数组织检测覆盖最薄弱的环节。虽然边界防御（周期性防御）投入巨大，但内部网络监控往往滞后。了解这些阶段有助于优先在最关键的领域进行防御性投资。

退出周期（阶段 15-18）：实现战略目标

1. 收集——从受感染的系统中收集目标数据
2. 数据外泄——将收集到的数据移出环境
3. 影响——中断运营、破坏数据或部署勒索软件
4. 目标——实现总体战略目标

并非所有攻击者都会执行所有阶段。专注于间谍活动的APT组织侧重于数据收集和窃取，而忽略了影响阶段。勒索软件运营者则优先考虑影响阶段。UKC提供的是一系列全面的可能性，而非强制性的顺序。

了解哪些出局周期阶段对威胁行为者最为重要，有助于集中精力开展数据丢失预防和业务连续性计划工作。

UKC如何应对网络杀伤链的局限性

求解周长问题

统一攻击链明确考虑了绕过传统边界的攻击。它将社会工程（阶段 4）与漏洞利用（阶段 5）区分开来，认识到以人为中心的攻击与技术漏洞利用需要不同的防御措施。它还包括凭证访问（阶段 13）和横向移动（阶段 14）等阶段，这些阶段描述了内部威胁活动。

最重要的是，它将十八个阶段组织成三个不同的循环：进入、贯穿和退出。

“入侵”周期（阶段 1-8）涵盖初始访问和立足点建立，大致相当于原始网络杀伤链的范围。“渗透”周期（阶段 9-14）描述内部网络传播，即原始模型很大程度上忽略的入侵后活动。“入侵”周期（阶段 15-18）详细描述了攻击者的最终目标：数据窃取、系统影响或实现战略目标。

这种三阶段循环结构迫使防御者跳出防御边界进行思考。UKC 的一半阶段都侧重于初始入侵之后的情况。这与现代安全范式（例如“假定入侵”和“纵深防御”）完美契合，这些范式都承认攻击者终将入侵，并专注于限制其行动和影响。

求解线性序列问题

UKC 并不假定确定性的顺序。它的十八个阶段可以以任何顺序发生、循环执行或并行运行。攻击者在探索不同的网络段时，可能会多次执行发现阶段（第 10 阶段）。他们可能会建立多个命令与控制通道（第 8 阶段）作为备份。他们可能会在整个攻击活动中持续进行收集阶段（第 15 阶段）和数据窃取阶段（第 16 阶段），而不是作为单一的最终行动。

该模型明确指出，枢纽传输（阶段 9）是一个独立的关键阶段。枢纽传输是指攻击者通过被入侵的系统建立隧道，从而访问其他无法直接访问的系统。这是攻击者在网络段之间移动时必须跨越的咽喉要道。对于防御者而言，这些枢纽点是极具价值的检测机会，因为它们是由良好的网络分段机制强制执行的，并且极易被观察。

UKC还将模糊的“目标行动”分解为三个具体阶段：收集（阶段15）、泄露（阶段16）和影响（阶段17）。这三个阶段与CIA信息安全三要素直接对应。收集和泄露会破坏机密性。影响会破坏完整性（数据篡改）或可用性（勒索软件加密、系统擦除）。这使得防御者能够根据面临的具体威胁调整其控制措施。

最后，UKC 将目标（第 18 阶段）作为攻击背后的战略“原因”。

这迫使分析人员像情报专家一样思考，而不仅仅是技术防御者。如果对手的目标是间谍活动，那么他们肯定会攻击数据库和文件共享。如果是破坏活动，他们就会攻击工业控制系统或关键基础设施。了解攻击目标有助于预测攻击路径并确定防御优先级。

UKC 不仅仅是修补网络杀伤链中的漏洞。它重新定义了我们对攻击的思考方式，将其视为遍及整个环境的迭代式、非线性过程，从边界到核心系统。

UKC 不是什么

UKC 并不能取代MITRE ATT&CK。ATT &CK 提供具体的检测技术和指导，而 UKC 则提供战略框架。两者都不可或缺。

• UKC 不是一个检测框架。它不会告诉你应该收集哪些日志或编写哪些 SIEM 规则。它告诉你应该围绕哪些攻击者的目标来规划防御措施。

• UKC并非普遍适用。对于简单的通用恶意软件，原始的网络杀伤链通常已足够。

UKC 与其他框架的关系

此时，你可能会想：“等等，我们不是已经有 MITRE ATT&CK 来解决这个问题了吗？”

没错，这正是关键所在！

统一杀伤链并非旨在取代MITRE ATT&CK或钻石模型，而是将它们整合在一起的战略框架。理解这些框架之间的相互关系对于有效运用它们至关重要。

MITRE ATT&CK：战术图书馆

MITRE ATT&CK是一个基于真实世界观察的、涵盖敌方战术和技术的综合知识库。它目前包含数百种技术，并被归类为十四个战术类别。该知识库内容极其详尽，持续更新，已成为威胁情报领域的通用标准。

但ATT&CK与时间无关。它是一种分类体系，而非时间线。它告诉你对手能做什么，而不是他们何时或以何种顺序去做。如果你正在分析一场攻击活动，并识别出T1566（网络钓鱼）、T1059（命令和脚本解释器）、T1003（操作系统凭证转储）和T1021（远程服务）这几种技术，ATT&CK并不会告诉你它们的先后顺序或相互关联。

这就是统一攻击链 (UKC) 的价值所在。它提供了 ATT&CK 所缺乏的顺序叙述。您可以将 ATT&CK 技术映射到特定的 UKC 阶段，从而了解攻击的进展，并将其无缝集成到您更广泛的威胁情报生命周期中。T1566 映射到初始访问（In阶段）。T1059 和 T1003 映射到执行和凭证访问（Through 阶段）。T1021 映射到横向移动（也是Through阶段）。

UKC 提供故事框架，ATT&CK 提供详细的技术编排。

实际上，您可以使用 UKC 来构建您的威胁情报报告：“攻击者遵循典型的 APT 攻击链：通过鱼叉式网络钓鱼进行初始访问，建立指挥和控制，进行发现和凭证访问，横向移动到高价值目标，最后进行收集和窃取。”

然后您可以使用 ATT&CK 来具体说明如何操作：“他们使用了 T1566.001 技术（鱼叉式网络钓鱼附件），通过 T1071.001（Web 协议）建立了 C2，使用 T1003.001（LSASS 内存）转储了凭据，并通过 T1021.001（远程桌面协议）进行了横向移动。”

钻石模型：归因框架

由塞尔吉奥·卡尔塔吉罗内等人开发的钻石模型，将入侵事件分析为具有四个核心特征的原子事件：攻击者、基础设施、能力和受害者。该模型旨在进行归因分析和关系映射，帮助分析人员了解攻击者是谁、使用什么工具以及通过什么基础设施。

钻石模型擅长分析原子级事件。统一杀伤链的每个阶段都可以被视为一个钻石事件进行研究。

交付阶段（UKC 阶段 3）构成钻石型攻击：攻击者（APT28）利用基础设施（被攻陷的合法网站）向受害者（目标组织）投放了能力（武器化的 PDF）。横向移动阶段（UKC 阶段 14）构成另一个钻石型攻击：攻击者利用基础设施（内部网络）向受害者（域控制器）投放了能力（带有窃取凭证的 PsExec）。

通过将每个 UKC 阶段视为一个钻石事件，您可以构建一个丰富的数据集用于归因分析。您可以识别基础设施重用、能力发展或目标定位方面的模式，从而将攻击活动与特定的威胁行为者联系起来。

这些框架之间的关系并非竞争关系，而是互补关系。理解这一点对于构建高效的CTI团队至关重要：

• 统一杀伤链提供了循序渐进的流程和战略结构。它是你的战略路线图。
• MITRE ATT&CK提供战术技巧和防御缓解措施。它是你的战术手册。
• 钻石模型提供归因分析和关系分析，是您的情报分析工具。

你不用从中选择一种。你需要将这三种方法都用上，分别用于分析的不同方面。

可以这样理解：如果你要撰写一份关于 APT 活动的威胁情报报告，你会使用 UKC 的阶段来构建它，在每个阶段中使用特定的 ATT&CK 技术，并使用钻石模型根据与已知对手的基础设施和能力重叠来得出归因结论。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：KK安全说 破天KK《杀伤链：真正模拟现代攻击的18阶段框架》