iT邦幫忙

2021 iThome 鐵人賽

DAY 13
0
Security

不專業的工控安全筆記系列 第 13

Day13 ATT&CK for ICS - Initial Access(3)

  • 分享至 

  • xImage
  •  

今日彙整幾個會搞混的「Remote Service」,分別有可遠端連線的服務、直接暴露在外網的服務、用第三方軟體/程式可提供連線的服務、從 IT 進入到 OT 網路的遠端服務。

T0886 Remote Services

工控網路內的設備開啟可遠端連線的服務(如遠端桌面 RDP、SMB、SSH),而這些服務遭受到駭客利用,導致駭客可以進行遠端連線到工控網路內部或是傳輸敏感資料。常見提供遠端服務的工控設備如 HMI 或工程師的工作站,也會提供圖形化介面( RDP 或 VNC )加以連線,若駭客進入這些設備,還有機會橫向移動到其他機器。

T0883 Internet Accessible Device

在工控場域內部可能有設備直接對外,暴露於公開網路中,這些設備可能是因為設定失誤導致暴露在外,這些設備可以透過 nmap 等掃描工具,發現這些設備,並且利用已知漏洞進行攻擊或是透過暴力破解密碼的方式,甚至設備本身沒有防護機制(身分驗證),因此當服務直接暴露於外網中,將導致任何人可以瀏覽、操作設備功能。

T0822 External Remote Services

工控場域若使用外部遠端服務如 VPN、Citrix,透過這些服務進行身分驗證(帳號密碼驗證後)可進入工控網路,因此惡意攻擊者的目標為 VPN,包含 VPN 帳號密碼竊取、利用已知漏洞攻擊 VPN 軟體。

T0886 Exploitation of Remote Services

攻擊者透過蒐集資訊了解工控網路內部有哪些軟體、設備、作業系統,並透過軟體漏洞、作業系統已知漏洞進行攻擊。如著名的攻擊為 WannaCry 透過 SMB 相關的漏洞,從 IT 網路攻擊到 OT 網路產生重大危害。


上一篇
Day12 ATT&CK for ICS - Initial Access(2)
下一篇
Day14 ATT&CK for ICS - Execution(1)
系列文
不專業的工控安全筆記38
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言