3. Шабуылдың өмірлік циклы Тәжірибелі қаскүнемдер, яғни киберқылмыскерлер және таңдаулы хакерлер кездейсоқ жағдайда жұмыс жасамайды. Олар шабуыл жасаудың жалпы және тиімді стратегиясын ұстанады. «2010 М-тенденциясы: алдыңғы қатарлы тұрақты қауіп-қатер» стратегиясы белгілі Mandiant’s америкалық фирмасымен әзірленді және шабуылдың өмірлік циклы ретінде танымал. Одан кейін бұл модель жетілдіріліп, қазіргі кезде сегіз пунктты қосады.
1. Барлау (Reconnaissance)
2. Бастапқы эксплуатация (Initial Exploitation)
3. Тірек нүктесін орнату (Establish Foothold)
4. Привилегияны арттыру (Escalate Privileges)
5. Ішкі барлау (Internal Reconnaissance)
6. Бүйірлі жылжу (Lateral Movement)
7. Қатысуды сақтау (Maintain Presence)
8. Миссияны аяқтау (Complete Mission)
Барлау кезеңінде қаскүнем адрестік кеңістікті және мақсатты желі схемасын, қолданылатын технологияларды, олармен байланысты осалдылықтарды анықтайды, сонымен қатар қолданушылар мен мақсатты 15 ұйымдардың иерархиясы бойынша ақпарат алады. Барлау әрекетін екі түрге бөлуге болады: пассивті және белсенді. Пассивті барлау кезінде қоршаған мақсатты ортада ешқандай ақпарат енгізілмейді және жүйенің күйі өзгермейді. Ол әдетте мақсатты жүйемен анықталмайды. Пассивті әрекеттің мысалына сымды немесе сымсыз желіде пакеттерді іздеу, Интернетте іздеу және доменді аттар жүйесінің (DNS) сұранымдары кіреді. Белсенді барлау кезінде деректер енгізіледі және/немесе мақсатты желінің күйі өзгертіледі. Ол мақсатты желімен анықталуы мүмкін. Белсенді барлау мысалы: порттарды сканерлеу, осалдылықтарды сканерлеу және веб-сайттарды қарау. Барлау кезеңінің соңында қаскүнем мақсатты желінің толықтай сипаттамасын, желінің қолданушылары туралы кейбір мағлұматтарын, болжалды осалдықтары туралы ақпараттарды және көптеген жағдайларда желі үшін жарамды есептік жазбаны алады.
Бастапқы эксплуатация фазасы қаскүнемнің жүйеге қол жеткізу үшін алғашқы әрекетін жасау кезінен басталады. Бұл жағдайда әдетте жүйеден табылған осалдылықтар қолданылады. Бастапқы эксплуатация әдістеріне буфердің толығуын, SQLинъекциясын, сайтаралық скриптингісін (XSS), парольді іздеу (brute force) әдісін және фишингті қолдану кіреді. Бастапқы эксплуатация фазасының соңында қаскүнем жүйеге белгілі бір деңгейде қол жеткізе алады, мысалы, деректерді оқу немесе жазу немесе кез келген кодты орындау мүмкіндігі.
Қаскүнем жүйеге алғашқы қолжетімділікті алғаннан кейін, ол жүйеде ұзақ мерзімде қала алатындығына және қажет болған жағдайда қолжетімділікті қайта қалпына келтіру қабілеттілігін қамтамасыз ете алатындығына көз жеткізуі тиіс. Атап айтқанда, қаскүнемнің жүйеге қол жеткізу қажет болған жағдайда әр кезде жүйеге жүгінгісі келмейді, өйткені ол операциялық қауіпті арттырады. Тірек нүктесін орнату үшін қолданылатын әдістерге жүйенің жаңа қолданушыларын құру; Secure Shell (SSH), Telnet немесе қашықтағы жұмыс үстелінің хаттамасы (RDP) сияқты қашықтықтан қол жеткізу мүмкіндігін қолдану; «трояндық ат» (RAT) сияқты зиян келтіруші программаларды орнату кіреді. «Тірек нүктесін орнату» фазасының табысты орындалуы қаскүнемге үнемі жүйеде қалуын сақтауға және қажетінше қолжетімділікті қалпына келтіруге мүмкіндік береді.
Бұны қаскүнем жүйеге алғашқы қолжетімділікті алған кезде, артықшылығы жоқ деңгейде ғана жасай алады. Артықшылығы жоқ қолданушы ретінде қаскүнемде парольдерді ауыстырып, программалық қамтаманы орнатып, басқа қолданушылардың файлдарын қарап немесе қажет баптауларды өзгерту мүмкіндігі болмайды. Бұл проблеманы шешу үшін қаскүнемге root немесе администратор есептік жазбасына дейін привилегиясын арттыру қажет болады. Осы мақсатқа жету әдістеріне жергілікті жүйенің буферінің толығуымен байланысты осалдылықтарды қолдану, есептік деректерді ұрлау және инъекция процестері кіреді. Привилегияны арттыру кезеңінің соңында қаскүнем жергілікті жүйенің администратор аккаунтына немесе артықшылығы жоқ root есептік жазбасына қолжетімділік алады. Егер қаскүнемнің жолы болса, ол сонымен қатар желінің әр түрлі жүйелерінде қолданылатын артықшылығы бар доменнің есептік жазбасына қол жеткізе алады.
Қаскүнем тірек нүктесін орнатып, жүйенің айрықша құқығы бар мүмкіндіктеріне қол жеткізгеннен кейін, ол өзінің жаңа орналасу нүктесінен желіні тексеріп, жауап ала бастауы мүмкін. Осы кезеңде қолданылатын әдістер барлаудың алдыңғы кезеңіндегі әдістерден қатты айырмашылығы болмайды. Оның негізгі айырмашылығы, қаскүнем мақсатты желінің ішінде тірек нүктесінің болғандығында және ол хосттарға қосылыс орната алатындығында. Одан бөлек, мысалы, Active Directory байланысты ішкі желілік хаттамалар көрінетін болады. Ішкі барлау фазасының соңында қаскүнемде жалпы стратегияны нақтылау және өмірлік циклдың келесі фазасында әрекеттерді анықтау үшін қолдануға болатын, мақсатты желінің, хосттардың және қолданушылардың егжей-тегжейлі картасы болады.
Компьютерлік желілердің ерекшелігіне қарай қаскүнемнің бастапқы қосылыс кезінде өзі ойластырылған мәселені шешу үшін жүйеге бірден қол жеткізуі екіталай. Сондықтан қаскүнем қажет жүйені тауып, қол жеткізу үшін желі бойынша бүйірлі жылжуы қажет болады. Бүйірлі жылжу кезеңінде қолданатын әдістерге есептік деректерді ұрлау, хэшті жіберу және қашықтағы 18 хосттан анықталған осалдылықтарды тікелей қолдану кіреді. Осы кезеңнің соңында қаскүнем қажетті мәселені орындау үшін қажет хостқа немесе хосттарға қол жеткізе алады және олардың арасында орналасқан басқа бірнеше хосттарға қол жеткізу мүмкіндігі болады. Көптеген қаскүнемдер желі бойынша жылжу барысында жүйелерде тұрақты бэкдорларды қалдырады, себебі бұл кейінірек жүйеге кіруді қалпына келтіруге көмектеседі, егер белсенділік анықталған жағдайда, желіден тірек нүктелерін толығымен алып тастауды қиындатады.
Қаскүнемдер мақсатты жүйеге ендірілген және барлық желі бойынша әрекеттерін тарататын зиян келтіруші программаларға үнемі желілік қосылыстарды орнатып тұрмайды, себебі осы жағдай зиян келтіруші программаларды анықтау ықтималдығын арттырады. Альтернатива ретінде қаскүнемдер ендірілген зиян келтіруші программаларды өзінің командалық-административті серверінде іске қосады, осылайша осы программалар автоматты нұсқаулықтар немесе адамнан тікелей нұсқауды ала алады. Бұл beaconing деген атпен танымал «Қосылысты сақтау» кезеңінде орындалатын әрекеттер жалпы қызмет көрсетудің бөлігі болып табылады, ол қаскүнемнің желіде болуын сақтап тұруы үшін орындауы қажет әрекеттерді қамтиды.
Шабуылдың өмірлік циклының соңғы фазасы немесе миссияны аяқтау қаскүнемге өзінің жұмысын аяқтауға мүмкіндік береді. Бұл фазада көбінесе мақсатты желіні бақылағандығы туралы ақпаратты жинақтап, 19 жіберу процесін орындайды. Желіні тексеру барысында ұсталып қалмас үшін қаскүнем стандартты порттар мен HTTP, HTTPs және DNS сияқты хаттамаларды қолдана отырып, эксфильтрацияны (ақпараттың ақырындап ұрлануы) қалыпты трафик ретінде бүркемелеуге тырысады.