iT邦幫忙

2021 iThome 鐵人賽

DAY 14
0
Security

不專業的工控安全筆記系列 第 14

Day14 ATT&CK for ICS - Execution(1)

  • 分享至 

  • xImage
  •  

Execution

攻擊者嘗試任意執行程式碼與指令、控制工控設備的功能、調整參數與修改資料。

T0863 User Execution

攻擊者需要仰賴受害目標的使用者執行惡意程式、安裝軟體、下載信件的附件,甚至是誘使使用者以高權限執行檔案或指令。

攻擊者可能利用 word 或 excel 中的「巨集」功能,撰寫惡意程式碼如 Visual Basic,並引導使用者執行巨集

常見如利用信件寄送安裝更新軟體,但其實是木馬、後門,或是 zip 壓縮惡意程式,繞過信箱掃描。

T0853 Scripting

攻擊者利用腳本語言如 PowerShell、VBScript、JavaScript、WScript,透過寫好的惡意程式(腳本),提供給受害目標,誘使受害者執行。

T0834 Native API

攻擊者使用原生程式內部的 API 進行溝通,這些 API 可以影響硬體設備、記憶體或系統中的 process。

比如說利用 PLC 系統功能的 TCON 和 TDISCON 啟動或結束與系統的 TCP 連線,透過 TRCV 和 TSEND 與設備發送或接收緩衝區的資料。

T0823 Graphical User Interface

攻擊者透過圖形化介面(GUI)進行攻擊,設備可能支援 CLI 和 GUI,而駭客請向使用 GUI 的原因,可能是因為比較直覺,也可以直接透過滑鼠進行操作,可以透過 Linux 中 VNC 與 Windwos 的 RDP 協定,存取這些機器後,並利用 GUI 執行程式。


上一篇
Day13 ATT&CK for ICS - Initial Access(3)
下一篇
Day15 ATT&CK for ICS - Execution(2)
系列文
不專業的工控安全筆記38
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言