Bước 1. Bước Đầu Thỏa Hiệp
Quá trình này thường bắt đầu bằng việc sử dụng các phương thức như Kỹ Thuật Kỹ Thuật Xã Hội (Social Engineering) hoặc tấn công lừa đảo có hướng dẫn. Các phương tiện thường được sử dụng bao gồm email và các phương tiện khai thác lỗ hổng trên dịch vụ web, email, trò chuyện trực tuyến, và các phương thức khác để cài đặt phần mềm độc hại (malware) vào các trang web thường xuyên được truy cập bởi nhân viên của tổ chức.
Các công cụ sử dụng: Social engineering, fake web, fake mail, port 80 exploit, client service exploit, malware, virus, trojan, downloader, dropper.
Bước 2. Thiết Lập Chỗ Đứng Trong Mạng Tổ Chức
Khi đạt được mục tiêu ban đầu, hacker sử dụng các phần mềm truy cập từ xa để xâm nhập vào mạng của tổ chức đích và tiếp tục cài đặt các cửa sau (backdoor) cũng như thiết lập các đường truyền (tunnel) được mã hóa để truy cập vào hạ tầng mạng của tổ chức mục tiêu từ xa một cách thầm lặng.
Các công cụ sử dụng: Remote access, RAT, Backdoor, trojan, Keylogger.
Bước 3. Leo Thang Đặc Quyền
Sau khi xâm nhập, hacker sử dụng các lỗ hổng hoặc công cụ crack mật khẩu (lấy hash mật khẩu và thực hiện crack) để leo thang lên quyền quản trị trên máy tính của nhân viên trong tổ chức. Họ cố gắng mở rộng việc kiểm soát bằng cách chiếm quyền quản trị Windows domain hoặc quản trị mạng.
Các công cụ sử dụng: Exploit, Password cracker, Password resetter, Keylogger, Social Engineering.
Bước 4. Điều Tra Mạng Nội Bộ Của Tổ Chức
Hacker thu thập thông tin về cơ sở hạ tầng mạng nội bộ của tổ chức, bao gồm các mạng, sơ đồ cấu trúc mạng, máy chủ, lớp bảo mật, và các biện pháp bảo mật khác.
Các công cụ sử dụng: network scanner, tracer, sniffer.
Bước 5. Tấn Công Lan Rộng
Hacker cố gắng mở rộng cuộc tấn công bằng cách tấn công các thành phần quan trọng trong mạng mục tiêu, bao gồm cách tiếp cận và kiểm soát máy tính của các nhân viên cấp cao hơn, máy chủ, và các thành phần kiểm soát mạng như bộ định tuyến (router) và công tắc (switch), sau đó thu thập dữ liệu trên các thành phần này.
Các công cụ sử dụng: thông tin về mạng đã thu thập ở trên, exploit, remote access tool, virus, malware, trojan, phishing…
Bước 6. Duy Trì Khả Năng Truy Cập
Hacker thiết lập các cửa sau (backdoor), các biện pháp bảo vệ ẩn để đảm bảo khả năng truy cập vào mạng nội bộ của tổ chức và các kết nối. Họ đảm bảo rằng họ có thể tiếp tục truy cập mạng của tổ chức trong tương lai.
Các công cụ sử dụng: Rootkit, backdoor, disable AV, hidden malware, hidden administrator account, remote access tool….
Bước 7. Hoàn Tất Chiến Dịch
Cuối cùng, hacker chuyển dữ liệu thu thập từ mạng của tổ chức mục tiêu về một máy chủ trung tâm an toàn.
Các công cụ sử dụng: Encrypted tunnel, stealth connection, hidden connection, backconnect…
