文章总结： 洛克希德·马丁提出的CKC模型将网络攻击拆为七阶段：侦查、武器构建、载荷投递、漏洞利用、安装植入、持续控制、目标达成，强调任一点阻断即可破链；以Stuxnet为例展示其工业破坏路径，并指出线性假设、忽视内网与后渗透细节等缺陷，建议结合纵深防御与ATT&CK框架弥补。 综合评分： 85 文章分类： 威胁情报,漏洞分析,安全建设,应急响应,内网渗透

网络攻击模型之CKC(cyber-attacks and the Cyber Kill Chain)模型

安全大脑 安全大脑

安全大脑

2026年1月19日 09:00 北京

一、模型的由来及构成

由洛克希德马丁公司提出的网络杀伤链CKC模型是网络安全领域最具影响力的攻击模型之一，借鉴了军事域的”杀伤链”的概念，旨在通过将网络攻击分解为一系列连续的阶段，来识别、阻止和环节网络入侵活动

共可分为7个阶段:

Step1:侦查追踪

对目标进行研究、识别和计划。通过在线或其他方式观察目标，为目标建立配置文件，从而设计出最有效的实施攻击策略。工具:开源情报系统(常见社交媒体)、社会工程学、端口扫描、暴力密码破解、漏洞探测

Step2:武器构建

制作定向攻击武器，比如带EXE的pdf文件或者漏洞利用程序

Step3:载荷投递

将攻击工具有效部署到目标环境中，比如钓鱼邮件、U盘、常见行业网站挂马

Step4:漏洞利用

利用目标系统的应用或者操作系统漏洞，在目标系统触发攻击工具运行

Step 5:安装植入

      在目标系统中植入木马、后门，以获得持续的访问权限，与互联网控制器服务器建立一个Command&Control信道

Step6:持续控制

      目标主机持续向外连接互联网上的控制服务器，建立通道，完成持续控制功能。为了更成功的攻击，攻击者需要隐藏证据:可以更改数据以消除泄露的证据，植入虚假的数据线索，清除操作日志以破坏取证等。

Step7:目标达成

      攻击者通过一系列攻击活动实现目标攻击，包括对敏感数据的窃取、破坏等

二、使用CKC模型分析Stuxnet震网病毒

      Stuxnet是世界上第一个被公开发现的，专门针对工业控制系统ICS的恶意软件。它的目标是伊朗的核设施，特别是离心机，造成了巨大的物理破坏。修改核电站离心机的转速，加剧了损坏性，致使伊朗核研究计划倒退多年

Step1侦查追踪

      攻击者投入了大量资源，对伊朗核设施的网络架构，使用的西门子工控系统(PLC型号、组态、漏洞)做了针对性、惊喜的侦查

Step2武器构建

      构建了利用多个0day漏洞的Stuxnet病毒，具有极强的隐蔽性和杀伤性。

Step3载荷投递

      使用U盘进行投递攻击工具，攻击者感染了合作公司/外部公司的电脑，当他们把带有Stuxnet病毒的U盘插在核设施内部的主机上时，利用U盘LNK文件漏洞自动感染

Step4漏洞利用

       利用Windows的漏洞来执行恶意代码

Step5安装植入

      Stuxnet在受感染的Windows电脑上安装自己，并采取多种手段实现持久化，例如劫持系统文件，修改注册表等。更关键的是,它会寻找连接到电脑的西门子PLC，并尝试植入到PLC的编程代码中

Step6持续控制

       在核设施内部网络传播

Step7目标达成

      最终目标:寻找并识别特定的PLC，修改其代码，导致离心机以不稳定的高速或低速运转

三、纵深防御策略

四、模型的优劣势

—优势

1、CKC模型不仅是一个描述攻击的框架，更重要的是，它提供了一套清晰的防御哲学:

2、只要在攻击过程的任何一个阶段成功地阻断攻击者，整个攻击链就会被打破

3、简单直观:CKC模型易于理解，提供了一个攻击的宏观视角，非常适合网络安全的初学者，也便于在战略层面进行讨论和规划.鼓励主动防御:CKC模型强调在攻击早期阶段进行拦截，培养了防御方主动防御的思维

—不足

1、严格的线性结构:现代攻击往往是非线性的，攻击者可能会跳过某些阶段，或者直接从中间阶段开始(比如使用已盗取的凭证直接进行横向移动)

2、过分关注边界:CKC模型主要关注来自外部、由外向内的传统网络攻击，对于内部威胁、云环境攻击和已在内部立足的攻击者的描述能力较弱

3、缺乏后渗透阶段的细节:CKC将所有后渗透活动笼统地归为”目标达成”，未能详细刻画横向移动、权限提升、防御规避等高级攻击中至关重要的复杂行为。此外，如前所述，”武器化”阶段对防御方是不可见的，这使得该阶段在实际防御中缺乏可操作性

SolarWinds供应链攻击

利用了软件的合法更新程序安装植入后门程序

从ATT&CK的角度理解攻击者:

1.战术:初始访问一技术:供应链妥协一子技术:软件更新投毒(T1195.002)攻击者没发钓鱼邮件，而是算改合法软件更新，突破边界;

2.战术:执行一技术:合法软件代理执行(T1218.007)恶意代码通过合法更新机制运行，系统认为是正常程序;

3.战术:持久化一技术:后门休眠(T1027.011)后潜伏数周，不做任何动作，避开检测;

4.战术:防御规避一技术:伪装正常流量(T1027.009)后门和控制服务器通信时，伪装成软件更新流量，绕过IDS/IPS;

5.战术:凭证访问一技术:窃取Windows凭证(T1003.001)拿到管理员账号密码;

6.战术:横向移动一技术:远程桌面协议(T1021.001)用偷来的凭证登录其他服务器;

7.战术:数据渗出一技术:隐蔽传输(T1020.001)把敏感数据打包，通过加密信道发送出去。

如果使用CKC模型来分析SolarWinds供应链攻击，会遇到困难

载荷投递基于合法的软件更新，传统的防御方法无法防御

.漏洞利用在传统上不存在，利用合法软件的更新机制安装和执行恶意代码

。攻击绝大部分的复杂性都在安装之后，包括长时间的潜伏，绕过检测等，在CKC模型中这些被笼统地称为目标达成

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全大脑 安全大脑 安全大脑《网络攻击模型之CKC(cyber-attacks and the Cyber Kill Chain)模型》