Analyzes cyber intrusions using Lockheed Martin Cyber Kill Chain framework to map completed stages, defense gaps, and preventive controls. For post-mortems, threat intel reports, and security design.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
在以下情况下使用本技能:
Maps intrusion activity to Lockheed Martin Cyber Kill Chain phases, identifies completed stages, defense gaps, and preventive controls. For post-incident analysis, security control design, and detection mapping.
Analyzes intrusions against Lockheed Martin Cyber Kill Chain to map adversary phases, defense gaps, and preventive controls for post-incident analysis and security planning.
Applies Diamond Model to structure intrusions into adversary, capability, infrastructure, and victim vertices with relationships for investigation, attribution, and event clustering to common threat actors. For post-incident analysis and threat intel products.
Share bugs, ideas, or general feedback.
在以下情况下使用本技能:
不适用于将本技能作为独立框架使用——应与 MITRE ATT&CK 结合使用,获取超越 7 阶段杀伤链所提供的技术级颗粒度。
Lockheed Martin Cyber Kill Chain 包含七个阶段。映射所有观察到的对手行动:
阶段 1 - 侦察(Reconnaissance):对手在攻击前收集目标信息。
阶段 2 - 武器化(Weaponization):对手创建攻击工具(恶意软件 + 漏洞利用)。
阶段 3 - 投递(Delivery):对手将武器传输至目标。
阶段 4 - 漏洞利用(Exploitation):对手利用漏洞执行代码。
阶段 5 - 安装(Installation):对手在目标上建立持久化(Persistence)。
阶段 6 - 命令与控制(C2):对手与被攻陷系统通信。
阶段 7 - 目标行动(Actions on Objectives):对手实现目标。
为事件创建阶段矩阵:
阶段 1: 侦察 → 已完成(未检测到)
阶段 2: 武器化 → 已完成(未检测到 — 攻击前活动)
阶段 3: 投递 → 已完成;钓鱼邮件绕过了安全邮件网关
阶段 4: 漏洞利用 → 已完成;CVE-2023-23397 被利用
阶段 5: 安装 → 已检测:EDR 标记了计划任务创建(攻击在此阻断)
阶段 6: C2 → 未达成(安装被阻断)
阶段 7: 目标行动 → 未达成
对每个未经检测就完成的阶段,记录防御控制差距。
每个杀伤链阶段映射到多个 ATT&CK 战术:
在每个阶段内,枚举观察到的具体 ATT&CK 技术并映射到现有检测能力。
对每个阶段,记录适用的防御行动方案(COA):
按以下结构组织发现结果:
| 术语 | 定义 |
|---|---|
| 杀伤链(Kill Chain) | 对手入侵阶段的顺序模型;从理论上讲,断开任何环节即可阻止攻击 |
| 行动方案(COA) | 映射到每个杀伤链阶段的防御响应:检测、拒止、干扰、降级、欺骗、摧毁 |
| 信标(Beaconing) | 被攻陷主机向对手服务器定期发送 C2 心跳包的模式;可通过频率分析检测 |
| 阶段完成 | 对手成功完成一个杀伤链阶段并推进到下一阶段;纵深防御旨在阻止这一点 |
| 情报获取/损失 | 分析在阶段 5(而非阶段 3)检测是否减少了对对手能力或意图的情报 |