Trong khi hầu hết những vụ thâm nhập trái phép máy tính tuân theo một loạt bước chung, mức cao trong vòng đời của cuộc tấn công, thì vòng đời APT của Trung Quốc hơi khác vì các mục tiêu dài hạn độc nhất vô nhị của chúng. Các phần bên dưới tương ứng với các giai đoạn mô hình Vòng đời Tấn công của Mandiant và đưa ra một tổng quan về hoạt động nào của APT trông giống như vậy trong từng giai đoạn. Các giai đoạn giữa “Thiết lập chỗ đứng” và “Hoàn tất nhiệm vụ” không phải xảy ra theo trật tự này mỗi lần. Trên thực tế, một khi được thiết lập bên trong một mạng, các nhóm APT sẽ liên tục lặp đi lặp lại chu kỳ tiến hành trinh sát, nhận diện dữ liệu cần quan tâm, dịch chuyển biên để truy cập các dữ liệu đó, và “hoàn tất nhiệm vụ” bằng việc ăn cắp các dữ liệu. Điều này thường sẽ tiếp tục một các vô định cho tới khi chúng bị loại bỏ hoàn toàn khỏi mạng.
Tổn thương ban đầu
Giai đoạn tổn thương ban đầu đại diện cho các phương pháp mà những kẻ thâm nhập trái phép sử dụng để thâm nhập vào mạng của tổ chức mục tiêu. Những kẻ thâm nhập trái phép của APT thường ngắm đích vào người sử dụng cá nhân trong môi trường của một nạn nhân. Các thông điệp phishing
xiên cắm có thể bao gồm các gắn kèm độc hại, một liên kết tới một tệp độc hại, hoặc một liên kết
tới một website độc hại. Ít thông dụng hơn, những kẻ thâm nhập trái phép của APT có thể cố gắng liên lạc với các nạn nhân tiềm năng và gửi các nội dung độc hại thông qua các site mạng xã hội hoặc trình thông điệp tức thì (chat). Chiến thuật phổ biến khác là làm tổn thương web có chiến lược, trong đó kẻ tấn công đặt mã độc lên các website mà mọi người trong trong các tổ chức bị ngắm đích có khả năng sẽ viếng thăm. Khi họ viếng thăm các website đó trong quá trình làm nhiệm vụ thông thường của họ, họ sẽ bị tổn thương nếu máy tính có khả năng bị tổn thương do mã khai thác của kẻ tấn công. Các nhóm APT cũng có thể tìm kiếm các máy chủ web có giao diện với Internet có khả năng bị tổn thương và tải lên các web shell để giành được sự truy cập tới mạng nội bộ bị ngắm đích, hoặc tìm kiếm các chỗ bị tổn thương khác về kỹ thuật trong hạ tầng có giao diện công khai.
Thiết lập chỗ đứng
Việc thiết lập chỗ đứng đảm bảo rằng các nhóm mối đe dọa APT có thể truy cập và kiểm soát một hoặc nhiều máy tính trong tổ chức của các nạn nhân từ bên ngoài vào mạng. Các nhóm APT có thể ứng dụng các cửa hậu công khai (Gh0st RAT và Poison Ivy là những ví dụ phổ biến), các cửa hậu của “thế giới ngầm” được thấy trong các website của các tin tặc hoặc giành được thông qua các kết nối cá nhân, và các cửa hậu “tùy ý” mà chúng đã tự phát triển. Các cửa hậu đó thường thiết lập kết nối đi ra ngoài từ mạng của nạn nhân tới máy tính được các tin tặc kiểm soát. Các phương pháp giao tiếp được các cửa hậu sử dụng là khác nhau từ văn bản rõ ràng hoặc mã hóa đơn giản cho tới sử dụng mã hóa hoặc thuật mã hóa tiên tiến hơn. Các cửa hậu sẽ trao cho các nhóm APT sự truy cập cơ bản tới một hệ thống, thường thông qua một lệnh shell hoặc giao diện đồ họa của người sử dụng.
Leo thang các quyền ưu tiên
Leo thang các quyền ưu tiên có liên quan tới việc có được các khoản mà sẽ cho phép truy cập tới nhiều tài nguyên hơn trong môi trường của nạn nhân. Thông thường nhất điều này bao gồm việc giành được các tên người sử dụng và mật khẩu, nhưng nó cũng có thể bao gồm việc giành được sự truy cập tới các chứng thực hạ tầng khóa công khai - PKI (Public Key Infrastructure), phần mềm máy trạm mạng riêng ảo VPN (Virtual Private Network), các máy tính được ưu tiên hoặc các tài nguyên khác có yêu cầu truy cập tới các dữ liệu hoặc hệ thống có quan tâm. Những kẻ thâm nhập trái phép của APT (và những kẻ thâm nhập trái phép nói chung) ưu tiên lợi dụng các tài khoản được ưu tiên bất kỳ ở đâu có thể, như các Quản trị Miền, các tài khoản dịch vụ với các quyền ưu tiên Miền, các tài khoản của người quản trị hệ thống cục bộ, và các tài khoản người sử dụng được ưu tiên. Thông thường thì điều này được hoàn tất bằng việc trước hết “loại bỏ” các hàm băm mật khẩu khỏi một máy tính, máy chủ hoặc (ưu tiên) Kiểm soát Miền (Domain Controller). Kẻ tấn công có thể có khả năng giành được các mật khẩu tài khoản hợp pháp bằng “việc phá” các hàm băm mật khẩu. Như một sự lựa chọn, kẻ tấn công có thể lợi dụng bản thân các hàm băm trong một cuộc tấn công “truyền hàm băm” (pass – the – hash), nơi mà bản thân mật khẩu được băm có thể được sử dụng để xác thực tại chỗ mật khẩu thực sự. Một số công cụ có sẵn một cách công khai có thể sẵn sàng bị lợi dụng cho cả việc loại bỏ mật khẩu và các cuộc tấn công truyền hàm băm.
Trinh sát nội bộ
Trong giai đoạn trinh sát nội bộ, kẻ thâm nhập trái phép thu thập thông tin về môi trường của nạn nhân. Các tác nhân của các mối đe dọa APT sử dụng các lệnh hệ điều hành được xây dựng sẵn (như các lệnh “net” của Windows) để giành lấy thông tin về mạng nội bộ, bao gồm các máy tính, các mối quan hệ tin cậy, người sử dụng, nhóm. Để nhận diện các dữ liệu có quan tâm, chúng có thể thực hiện các liệt kê chia sẻ thư mục và mạng, hoặc tìm kiếm các dữ liệu theo phần mở rộng tệp, các từ khóa, hoặc ngày tháng được sửa đổi mới nhất. Các dữ liệu có quan tâm có thể ở nhiều dạng, nhưng phổ biến nhất là các tài liệu, các nội dung của các tài khoản thư điện tử của người sử dụng, hoặc các cơ sở dữ liệu. Vì thế các máy chủ tệp, máy chủ thư điện tử và các điều khiển miền thường là các mục tiêu của sự trinh sát nội bộ. Một số nhóm APT ứng dụng các script tùy biến để tự động hóa qui trình trinh sát và nhận diện dữ liệu có quan tâm.
Dịch chuyển biên
Trong hầu hết các trường hợp, các hệ thống mà những kẻ thâm nhập trái phép ban đầu gây tổn thương không có các dữ liệu mà chúng muốn. Vì thế chúng phải dịch chuyển biên bên trong một mạng tới các máy tính khác, hoặc chứa các dữ liệu đó, hoặc cho phép chúng truy cập nó. Các nhóm APT lợi dụng các ủy quyền của người sử dụng bị tổn thương hoặc các công cụ truyền hàm băm để giành được sự truy cập bổ sung tới các máy tính và các thiết bị trong mạng của một nạn nhân. Chúng thường sử dụng các ủy quyền bị tổn thương bằng PsExec và/hoặc Windows Task Scheduler (trình lập lịch các tác vụ của Windows) (lệnh “at”) để thực thi các lệnh và cài đặt các phần mềm độc
hại lên các hệ thống ở xa.
Duy trì sự hiện diện
Trong giai đoạn này, những kẻ thâm nhập trái phép tiến hành các hành động để đảm bảo sự kiểm soát liên tục đối với các hệ thống chủ chốt trong môi trường mạng từ bên ngoài của mạng đó. Các nhóm APT thường cài đặt các cửa hậu mới (như, các cửa hậu khác so với các cửa hậu được cài đặt trong pha Thiết lập Chỗ đứng) trong môi trường đó trong quá trình của chiến dịch. Chúng có thể cài đặt các họ phần mềm độc hại khác nhau vì sự dư thừa dự phòng và làm cho khó xác định và loại bỏ được tất cả các điểm truy cập của chúng. Hơn nữa, các nhóm APT có thể thiết lập các phương pháp truy cập mạng mà không có liên quan tới các cửa hậu, sao cho chúng có thể duy trì được sự hiện diện thậm chí nếu nhân viên an ninh mạng phát hiện được và loại bỏ phần mềm độc hại đó. Các phương pháp đó có thể bao gồm sử dụng các ủy quyền PKI hoặc VPN hợp lệ, cho phép những kẻ thâm nhập trái phép ngụy trang như là một người sử dụng hợp pháp để giành được sự truy cập tới mạng của một tập đoàn và các tài nguyên nội bộ. Trong một số trường hợp các tác nhân với đe dọa APT đã từng có khả năng phá vỡ xác thực 2 yếu tố để duy trì sự truy cập tới mạng của một nạn nhân và các tài nguyên của nó.
Hoàn tất nhiệm vụ
Mục tiêu chính của những thâm nhập trái phép của APT là ăn cắp các dữ liệu, bao gồm sở hữu trí tuệ, các hợp đồng hoặc thương thảo kinh doanh, các tài liệu chính sách hoặc các bản ghi nhớ nội bộ. Một khi các nhóm của APT tìm thấy được các tệp có quan tâm trong các hệ thống bị tổn thương, chúng thường nén các tệp đó trong các tệp lưu trữ trước khi ăn cắp chúng. Phổ biến nhất, chúng sử dụng tiện ích RAR cho tác vụ này, nhưng cũng có thể sử dụng các tiện ích có sẵn công khai khác như ZIP hoặc 7-ZIP. Các tác nhân của các mối đe dọa APT không chỉ nén dữ liệu, mà còn thường xuyên bảo vệ bằng mật khẩu cho sự lưu trữ đó. Từ đó chúng sử dụng các phương pháp khác nhau để truyền các tệp ra khỏi mạng của nạn nhân, bao gồm FTP, các công cụ truyền tệp tùy biến, hoặc các cửa hậu đang tồn tại.
Phụ lục C (Số): Kho vũ khí phần