2. Қолжетімділікке программалық шабуылдар Қажет болған жағдайда ақпаратқа кез келген орыннан және кез келген уақытта қол жеткізе алатын болса, ол қолжетімді ақпарат болып есептеледі. Сонымен қатар қолданушы үшін ақпарат дер кезінде беріліп және ыңғайлы болуы керек. Қолжетімділікке қатысты шабуылдар хакерлер арасында танымал болып келе жатыр, себебі ол жылдам және көрінетін нәтиже береді. Қолжетімділікті бұзу бойынша кездейсоқ оқиғалар қуат көзінің өшуінен, аппараттық немесе программалық қамтаманың бұзылуынан болуы мүмкін. Қолжетімділікті бұзу бойынша қасақана жасалған әрекетке «қызмет көрсетуді тоқтату» (DDoS - шабуылы) үлестірілген шабуылдары мен бопсалау мақсатында жүргізілетін шабуылдар кіреді. Әдетте қолжетімділікті сақтау үшін деректердің резервті көшірмесі мен электр қуатын беруді резервтеу, сонымен қатар жүйе жұмыс жасамаған жағдайда жүйені алмастыру (мысалы, бір жүйеден екінші жүйеге өту) қолданылады.
3. Шабуылдың өмірлік циклы: Қатысуды сақтау (Maintain Presence) Тәжірибелі қаскүнемдер, яғни киберқылмыскерлер және таңдаулы хакерлер кездейсоқ жағдайда жұмыс жасамайды. Олар шабуыл жасаудың жалпы және тиімді стратегиясын ұстанады. «2010 М-тенденциясы: алдыңғы қатарлы тұрақты қауіп-қатер (http://bit.ly/2Cn5RJH)» стратегиясы белгілі Mandiant’s америкалық фирмасымен әзірленді және шабуылдың өмірлік циклы ретінде танымал. Одан кейін бұл модель жетілдіріліп, қазіргі кезде сегіз пунктты қосады.
1. Барлау (Reconnaissance)
2. Бастапқы эксплуатация (Initial Exploitation)
3. Тірек нүктесін орнату (Establish Foothold)
4. Привилегияны арттыру (Escalate Privileges)
5. Ішкі барлау (Internal Reconnaissance)
6. Бүйірлі жылжу (Lateral Movement)
7. Қатысуды сақтау (Maintain Presence)
8. Миссияны аяқтау (Complete Mission)
Барлау кезеңінде қаскүнем адрестік кеңістікті және мақсатты желі схемасын, қолданылатын технологияларды, олармен байланысты осалдылықтарды анықтайды, сонымен қатар қолданушылар мен мақсатты 15 ұйымдардың иерархиясы бойынша ақпарат алады. Барлау әрекетін екі түрге бөлуге болады: пассивті және белсенді. Пассивті барлау кезінде қоршаған мақсатты ортада ешқандай ақпарат енгізілмейді және жүйенің күйі өзгермейді. Ол әдетте мақсатты жүйемен анықталмайды. Пассивті әрекеттің мысалына сымды немесе сымсыз желіде пакеттерді іздеу, Интернетте іздеу және доменді аттар жүйесінің (DNS) сұранымдары кіреді. Белсенді барлау кезінде деректер енгізіледі және/немесе мақсатты желінің күйі өзгертіледі. Ол мақсатты желімен анықталуы мүмкін. Белсенді барлау мысалы: порттарды сканерлеу, осалдылықтарды сканерлеу және веб-сайттарды қарау.
Бастапқы эксплуатация фазасы қаскүнемнің жүйеге қол жеткізу үшін алғашқы әрекетін жасау кезінен басталады. Бұл жағдайда әдетте жүйеден табылған осалдылықтар қолданылады. Бастапқы эксплуатация әдістеріне буфердің толығуын, SQLинъекциясын, сайтаралық скриптингісін (XSS), парольді іздеу (brute force) әдісін және фишингті қолдану кіреді. Бастапқы эксплуатация фазасының соңында қаскүнем жүйеге белгілі бір деңгейде қол жеткізе алады, мысалы, деректерді оқу немесе жазу немесе кез келген кодты орындау мүмкіндігі.
Тірек нүктесін орнату.Қаскүнем жүйеге алғашқы қолжетімділікті алғаннан кейін, ол жүйеде ұзақ мерзімде қала алатындығына және қажет болған жағдайда қолжетімділікті қайта қалпына келтіру қабілеттілігін қамтамасыз ете алатындығына көз жеткізуі тиіс. Атап айтқанда, қаскүнемнің жүйеге қол жеткізу қажет болған жағдайда әр кезде жүйеге жүгінгісі келмейді, өйткені ол операциялық қауіпті арттырады. Тірек нүктесін орнату үшін қолданылатын әдістерге жүйенің жаңа қолданушыларын құру; Secure Shell (SSH), Telnet немесе қашықтағы жұмыс үстелінің хаттамасы (RDP) сияқты қашықтықтан қол жеткізу мүмкіндігін қолдану; «трояндық ат» (RAT) сияқты зиян келтіруші программаларды орнату кіреді
Привилегияны арттыру.Бұны қаскүнем жүйеге алғашқы қолжетімділікті алған кезде, артықшылығы жоқ деңгейде ғана жасай алады. Артықшылығы жоқ қолданушы ретінде қаскүнемде парольдерді ауыстырып, программалық қамтаманы орнатып, басқа қолданушылардың файлдарын қарап немесе қажет баптауларды өзгерту мүмкіндігі болмайды. Бұл проблеманы шешу үшін қаскүнемге root немесе администратор есептік жазбасына дейін привилегиясын арттыру қажет болады. Осы мақсатқа жету әдістеріне жергілікті жүйенің буферінің толығуымен байланысты осалдылықтарды қолдану, есептік деректерді ұрлау және инъекция процестері кіреді. 17 Привилегияны арттыру кезеңінің соңында қаскүнем жергілікті жүйенің администратор аккаунтына немесе артықшылығы жоқ root есептік жазбасына қолжетімділік алады. Егер қаскүнемнің жолы болса, ол сонымен қатар желінің әр түрлі жүйелерінде қолданылатын артықшылығы бар доменнің есептік жазбасына қол жеткізе алады.
Ішкі барлау.Қаскүнем тірек нүктесін орнатып, жүйенің айрықша құқығы бар мүмкіндіктеріне қол жеткізгеннен кейін, ол өзінің жаңа орналасу нүктесінен желіні тексеріп, жауап ала бастауы мүмкін. Осы кезеңде қолданылатын әдістер барлаудың алдыңғы кезеңіндегі әдістерден қатты айырмашылығы болмайды. Оның негізгі айырмашылығы, қаскүнем мақсатты желінің ішінде тірек нүктесінің болғандығында және ол хосттарға қосылыс орната алатындығында. Одан бөлек, мысалы, Active Directory байланысты ішкі желілік хаттамалар көрінетін болады. Ішкі барлау фазасының соңында қаскүнемде жалпы стратегияны нақтылау және өмірлік циклдың келесі фазасында әрекеттерді анықтау үшін қолдануға болатын, мақсатты желінің, хосттардың және қолданушылардың егжей-тегжейлі картасы болады.
Қатысуды сақтау (Maintain Presence) Қаскүнемдер мақсатты жүйеге ендірілген және барлық желі бойынша әрекеттерін тарататын зиян келтіруші программаларға үнемі желілік қосылыстарды орнатып тұрмайды, себебі осы жағдай зиян келтіруші программаларды анықтау ықтималдығын арттырады. Альтернатива ретінде қаскүнемдер ендірілген зиян келтіруші программаларды өзінің командалық-административті серверінде іске қосады, осылайша осы программалар автоматты нұсқаулықтар немесе адамнан тікелей нұсқауды ала алады. Бұл beaconing деген атпен танымал «Қосылысты сақтау» кезеңінде орындалатын әрекеттер жалпы қызмет көрсетудің бөлігі болып табылады, ол қаскүнемнің желіде болуын сақтап тұруы үшін орындауы қажет әрекеттерді қамтиды.