Các giai đoạn của 1 cuộc tấn công bao gồm:
– Reconnaissance: trinh sát, thu thập thông tin
– Scanning: Dò quét các điểm yếu bảo mật
– Gaining Access: Chiếm quyền truy cập
– Maintaining Access: Duy trì điều khiển
– Clearing Tracks: Xóa dấu vết
Các phase này không nhất thiết phải làm tuần tự xong phase này mới thực hiện phase tiếp mà có thể
song song đồng thời.
Reconnaissance
Đây là phase chuẩn bị cho 1 cuộc tấn công: thu thập, tìm kiếm các thông tin liên quan đến mục tiêu (như danh sách email nhân viên, các website public internet, mô hình tổ chức, …). Có 2 hình thức thăm dò thông tin chủ yếu là Active (chủ động, có được thông tin thông qua tương tác trực tiếp với mục tiêu, như gọi điện, email, …) & Passive (bị động, có được thông tin mà không cần tương tác trực tiếp với mục tiêu, như tìm kiếm trên google, mạng xã hội, …)
Scanning
Sử dụng các thông tin đã thu thập được trong phase 1, hacker tiến hành dò quét mạng để tìm kiếm các lỗ hổng có thể khai thác xâm nhập, các công cụ hay sử dụng trong phase này: nmap, nexus, acunetix, …
Gaining Access
Trong phase này hacker sẽ khai thác vào các điểm yếu, lỗ hổng thu thập được từ 2 phase đầu để chiếm quyền kiểm soát hệ điều hành, ứng dụng, hay mạng máy tính. Các kỹ thuật thường được sử dụng bao gồm: Password brute force, session hijacking, vulnerability exploit, email phising, … Sau khi truy cập được vào, thông thường chúng sẽ leo quyền (privilege escalation) để kiểm soát hoàn toàn hệ thống (ví dụ trên Linux hay sử dụng lỗ hổng Dirty COW (CVE-2016 5195)).
Maintaining Access
Sau khi khai thác điểm yếu và truy cập được vào hệ thống, nếu muốn duy trì quyền kiểm soát bất cứ lúc nào mà không phải thực hiện khai thác lại, hacker sẽ thực hiện cài đặt các thành phần hỗ trợ, thường sử dụng Malware (RAT: Remote Access Tool) hoặc WebShell.
Clearing Tracks
Để không bị lộ danh tính cũng như gây khó khăn cho công tác forensic (như tìm ra cách thức kiểm soát hệ thống để vá, phân tích các tác vụ độc hại của hacker để loang các hệ thống bị tấn công khác, …). Ví dụ xóa log security trong Windows Event, xóa log command, ssh trên Linux, …