攻擊者針對攻擊已知弱點的軟體/設備(資產管理系統、使用者操作軟體、HMI)取得初始權限,會透過掃描工具如 nmap
或弱點掃描工具查看是否有對外公開的軟體/設備,透過公開的版本號,可以找到可能有脆弱點的軟體/設備,再進行攻擊。
攻擊者攻擊工程師工作站,可能透過有害的隨身碟,或是利用社交攻擊取得的權限,因工作站,工程師常使用工作站進行 Debug 因此工作站內,會有其他設備的連線資訊。
針對受害者進行社交攻擊,誘使受害者瀏覽(路過)惡意網站,便有機會使受害者的系統被感染,惡意網站可能瀏覽時自動下載惡意軟體於系統中。
攻擊者攻擊資料歷史紀錄伺服器,取得歷史紀錄可了解工控網路內的資訊,如攻擊 Microsoft Windows Server 2003 的 SQL Server 並取得 IT 環境與 OT 環境的網路資訊。