Việc tấn công có chủ đích vào mạng của một tổ chức kinh
tế, chính trị của một quốc gia nhằm đánh cắp các thông tin quan trọng, thường
phải do một nhóm hacker được tài trợ bởi chính phủ một quốc gia khác. Lý do là
vì các cuộc tấn công này cần một lượng tài nguyên nhất định về con người, thời
gian, tài chính để thực hiện. Các cuộc tấn công này thường được giới an ninh
thông tin gọi là Advanced Persistent Threat ( APT attack ) – dịch ra
không chính xác vì vậy giữ nguyên cụm từ này cho lành
• Bước đầu
thỏa hiệp: thực hiện bằng cách sử dụng các phương thức như Social
Engineering (về mặt bảo mật), tấn công lừa đảo có định hướng, hoặc thông qua
email, sử dụng các exploit trên dịch vụ web, email, chat… hoặc bất kì phương
thức lây nhiễm thông dụng nào để “cấy” malware vào một website mà nhân viên của
tổ chức đó thường truy cập vào. Qua đó “trồng” malware vào máy của nhân viên
trong tổ chức được nhắm đến
Các công cụ sử dụng: Social engineering,
fake web, fake mail, port 80 exploit, client service exploit, malware, virus,
trojan, downloader, dropper
• Thiết lập chỗ đứng trong mạng tổ chức:
sử dụng các phần mềm remote access để cài vào mạng của tổ chức nhắm tới, rồi
tiếp tục trồng cắm các backdoor cũng như thiết lập các tunnel ( đường truyền
được mã hóa ) để âm thầm truy cập từ bên ngoài vào hạ tầng mạng của tổ chức nhắm
tới
Các công cụ sử dụng: Remote access, RAT, Backdoor, trojan,
Keylogger
• Leo thang đặc quyền: sử dụng các exploit hoặc các
công cụ crack password ( dĩ nhiên là lôi các hash về máy của người tấn công rồi
crack ), để leo thang lên quyền administrator trên máy tính của nhân viên trong
tổ chức ( máy tính đã bị nhiễm malware ). Cố gắng mở rộng qua việc chiếm lấy
quyền administrator điều khiển Windows domains, hoặc quyền quản trị mạng.
Các công cụ sử dụng: Exploit, Password cracker, Password resetter,
Keylogger, Social Engineering
• Điều tra mạng nội bộ của tổ chức:
thu thập thông tin về cơ sở hạ tầng mạng nội bộ của tổ chức, các lớp mạng,
sơ đồ cấu trúc mạng, các máy chủ, các lớp bảo mật, các phương thức bảo mật …etc
Các công cụ sử dụng: network scanner, tracer, sniffer
•
Tấn công lan rộng: tìm cách tấn công mở rộng qua các hạ tầng quan trọng
của mạng mục tiêu, như tìm cách điều khiển các máy tính của các nhân viên cấp
cao hơn, các máy chủ, các thành phần kiểm soát mạng như router, switch…, rồi
thực hiện thu thập dữ liệu trên các hạ tầng này
Các công cụ sử dụng:
thông tin về mạng đã thu thập ở trên, exploit, remote access tool, virus,
malware, trojan, phishing…
• Duy trì khả năng truy cập: thiết lập
các backdoor, các lớp bảo vệ che dấu để chắc chắn rằng có thể tiếp tục truy cập
vào mạng nội bộ tổ chức mục tiêu cũng như kết nối, các backdoor, các quyền quản
trị đã chiếm được ở các bước trước. Tóm lại đảm bảo tương lai có thể tiếp tục
truy cập mạng của tổ chức
Các công cụ sử dụng: Rootkit, backdoor,
disable AV, hidden malware, hidden administrator account, remote access tool…
• Hoàn tất chiến dịch: Chuyển mọi dữ liệu đã thu thập từ mạng của
tổ chức mục tiêu về trung tâm
Các công cụ sử dụng: Encrypted tunnel,
stealth connection, hidden connection, backconnect…
Việc tấn công có chủ đích vào mạng của một tổ chức kinh
tế, chính trị của một quốc gia nhằm đánh cắp các thông tin quan trọng, thường
phải do một nhóm hacker được tài trợ bởi chính phủ một quốc gia khác. Lý do là
vì các cuộc tấn công này cần một lượng tài nguyên nhất định về con người, thời
gian, tài chính để thực hiện. Các cuộc tấn công này thường được giới an ninh
thông tin gọi là Advanced Persistent Threat ( APT attack ) – dịch ra
không chính xác vì vậy giữ nguyên cụm từ này cho lành
• Bước đầu
thỏa hiệp: thực hiện bằng cách sử dụng các phương thức như Social
Engineering (về mặt bảo mật), tấn công lừa đảo có định hướng, hoặc thông qua
email, sử dụng các exploit trên dịch vụ web, email, chat… hoặc bất kì phương
thức lây nhiễm thông dụng nào để “cấy” malware vào một website mà nhân viên của
tổ chức đó thường truy cập vào. Qua đó “trồng” malware vào máy của nhân viên
trong tổ chức được nhắm đến
Các công cụ sử dụng: Social engineering,
fake web, fake mail, port 80 exploit, client service exploit, malware, virus,
trojan, downloader, dropper
• Thiết lập chỗ đứng trong mạng tổ chức:
sử dụng các phần mềm remote access để cài vào mạng của tổ chức nhắm tới, rồi
tiếp tục trồng cắm các backdoor cũng như thiết lập các tunnel ( đường truyền
được mã hóa ) để âm thầm truy cập từ bên ngoài vào hạ tầng mạng của tổ chức nhắm
tới
Các công cụ sử dụng: Remote access, RAT, Backdoor, trojan,
Keylogger
• Leo thang đặc quyền: sử dụng các exploit hoặc các
công cụ crack password ( dĩ nhiên là lôi các hash về máy của người tấn công rồi
crack ), để leo thang lên quyền administrator trên máy tính của nhân viên trong
tổ chức ( máy tính đã bị nhiễm malware ). Cố gắng mở rộng qua việc chiếm lấy
quyền administrator điều khiển Windows domains, hoặc quyền quản trị mạng.
Các công cụ sử dụng: Exploit, Password cracker, Password resetter,
Keylogger, Social Engineering
• Điều tra mạng nội bộ của tổ chức:
thu thập thông tin về cơ sở hạ tầng mạng nội bộ của tổ chức, các lớp mạng,
sơ đồ cấu trúc mạng, các máy chủ, các lớp bảo mật, các phương thức bảo mật …etc
Các công cụ sử dụng: network scanner, tracer, sniffer
•
Tấn công lan rộng: tìm cách tấn công mở rộng qua các hạ tầng quan trọng
của mạng mục tiêu, như tìm cách điều khiển các máy tính của các nhân viên cấp
cao hơn, các máy chủ, các thành phần kiểm soát mạng như router, switch…, rồi
thực hiện thu thập dữ liệu trên các hạ tầng này
Các công cụ sử dụng:
thông tin về mạng đã thu thập ở trên, exploit, remote access tool, virus,
malware, trojan, phishing…
• Duy trì khả năng truy cập: thiết lập
các backdoor, các lớp bảo vệ che dấu để chắc chắn rằng có thể tiếp tục truy cập
vào mạng nội bộ tổ chức mục tiêu cũng như kết nối, các backdoor, các quyền quản
trị đã chiếm được ở các bước trước. Tóm lại đảm bảo tương lai có thể tiếp tục
truy cập mạng của tổ chức
Các công cụ sử dụng: Rootkit, backdoor,
disable AV, hidden malware, hidden administrator account, remote access tool…
• Hoàn tất chiến dịch: Chuyển mọi dữ liệu đã thu thập từ mạng của
tổ chức mục tiêu về trung tâm
Các công cụ sử dụng: Encrypted tunnel,
stealth connection, hidden connection, backconnect…
Không có nhận xét nào:
Đăng nhận xét