Chain
Ngày nay, một cuộc tấn công APT là một quá trình nhiều lớp, nhiều hành vi và giai đoạn kết hợp với nhau, và một chiến dịch tấn công của nó có thể kéo dài vài tháng. Các giai đoạn điển hình của 1 cuộc tấn công APT dựa theo mô hình Cyber Kill Chain có thể như sau:
Giai đoạn 1: Reconnaissance (Thu thập thông tin)
Giai đoạn quan sát và thu thập thông tin: các hacker thường đánh giá tình hình theo chiều từ ngoài vào trong, nhằm xác định cả mục tiêu lẫn chiến thuật cho cuộc tấn công.
Đây chính là bước đầu tiên trong các cuộc tấn công. Trong đó, các hacker sẽ tìm kiếm những thông tin có thể tiết lộ về các lỗ hổng bảo mật hay điểm yếu ở trong hệ thống. Ngày nay, firewall, các hệ thống IPS hay tài khoản mạng xã hội đều được nhắm làm mục tiêu để thu thập thông tin. Các công cụ phục vụ cho giai đoạn reconnaissance có thể quét các mạng công ty để tìm kiếm những lỗ hổng và những điểm có thể xâm nhập và khai thác.
Giai đoạn 2: Delivery (Phân phối)
Để có được mã độc hại vào hệ thống mục tiêu, những kẻ tấn công cần phải tìm cách để phát tán nó. Các doanh nghiệp thường bị xâm nhập thông qua các con đường sau: ứng dụng web, tài nguyên mạng và sự bất cẩn của nhân viên. Bắt đầu kẻ tấn công thường cố gắng tải lên các tệp tin độc hại thông qua các lỗ hổng web, ứng dụng mạng hoặc qua kỹ thuật tấn công lừa đảo, đây cũng là các mối đe dọa mà các tổ chức lớn phải đối mặt. Ngoài ra, kẻ tấn công có thể đồng thời thực hiện một cuốc tấn công DDOS chống lại mục tiêu. Điều này thường được dùng để đánh lạc hướng nhân viên quản trị, làm cho họ mất cảnh giác hơn.
Mục tiêu của giai đoạn này là kiểm soát một hệ thống mục tiêu để những kẻ tấn công có thể thực hiện các lệnh. Khi đã thâm nhập được vào mạng của mục tiêu, kẻ tấn công nhanh chóng cài đặt một cửa hậu(backdoor) để có thể truy cập dễ dàng hơn, cũng có thể là một mã độc hoạt động ẩn cho phép truy cập từ xa. Đây là một loại phần mềm độc hại cho phép thiết lập kết nối từ máy nạn nhân tới máy chủ điều khiển. Ngoài ra, chúng có thể cài đặt thêm các phần mềm độc hại khác về máy nạn nhân như dropper, keylogger,…Các phương pháp để có thể cài đặt được mã độc trên máy mà các nhóm APT thường hay sử dụng đó là là khai thác một lỗ hổng trên máy tính của người nhận, và lừa người dùng chạy những file, phần mềm độc hại có chứa các đoạn macro, script của họ.
Giai đoạn 4: Lateral Movement (Mở rộng phạm vi)
Khi các tấn công đã truy cập được vào hệ thống, họ có thể bắt đầu thực hiện giai đoạn lây lan lân cận trong hệ thống để có được nhiều quyền truy cập cao hơn vào hệ thống.
Giai đoạn 5: Exfiltration (Trích xuất dữ liệu)
Lấy dữ liệu ra khỏi hệ thống đã bị xâm nhập. Các hacker sẽ sao chép, hoặc di chuyển dữ liệu nhạy cảm đến một vị trí đã được kiểm soát. Tại đây, hacker có thể tự do thao túng dữ liệu theo ý của mình. Sau khi có được các dữ liệu, hacker có thể bán dữ liệu trên các sàn thương mại điện tử, hay gửi đến wikileaks. Việc trích xuất dữ liệu thường có thể mất đến vài ngày, và khi đã hoàn tất, mọi dữ liệu đều sẽ nằm trong tầm kiểm soát của các hacker.
Giai đoạn 6: Erase Evidence (Xóa bằng chứng)
Sau khi cài đặt và khai thác xong, các APT thường xóa các dấu vết của để tránh bị phát hiện. Thông thường, dấu vết không bị xóa khi kết thúc toàn bộ hoạt động, nhưng những kẻ tấn công sẽ xóa các công cụ ngay khi họ không cần chúng nữa.
Ví dụ: nếu việc phân phối được thực hiện theo nhiều giai đoạn phần mềm độc hại, các thành phần của dropper sẽ bị xóa sau khi phần mềm độc hại được cài đặt thành công.
Hình 2.3 Các giai đoạn của một cuộc tấn công APT theo mô hình Cyber Kill Chain
Bằng cách hiểu từng giai đoạn này, các chuyên gia an ninh mạng có thể xác định và ngăn chặn kẻ tấn công tốt hơn ở mỗi giai đoạn tương ứng. Tuy nhiên, trên thực tế hiện