Change Operating Mode

攻擊者修改 OT 設備的操作狀態，為了要取得權限，PLC 有很多操作模式，可控制使用者的狀態和控制器的 API 訪問，與物理模式的選擇，攻擊者可能透過各種手段試圖修改 PLC 的操作狀態。

• 程序 : PLC 必為寫入程序狀態，才能使其與工程工作站間進行程序的上傳與下載；當程序功能關閉時，通常 PLC 所有的輸出都為低電位。
• 運行 : PLC 在運行的模式下，其輸入、輸出以及各暫存器等才會正常的依照程式的邏輯運作，且通常這種模式下，不得進行程式的上傳以及下載。
• 遠端 : 允許遠距存取、修改 PLC 的工作狀態。
• 停止 : 在這個狀態下，PLC 的程式將會停止，且所有輸出皆為關閉狀態。
• 重設 : 會使 PLC 上的程式還原回初始狀態。
• 測試 / 監控模式 : 類似於運行模式，但這種模式可以在程式運行途中進行設定、重製，或是動態修改程式狀態。

Command-Line Interface

以指令介面，上一篇我們提到駭客使用了 GUI 介面操作，而這個技術則是透過指令介面(CLI)，來真對設備執行與操縱，許多的控制器也都有 CLI 的控制方式。攻擊者可能透過指令介面安裝或運行新的程式，並在過程中運行惡意程式。

通常來說，CLI 應該設定為僅能在內部執行，但很多時候也可能會藉由 SSH、Telnet 等方式意外將控制器的控制介面暴露，使攻擊者有機可乘。

Execution through API

有些設備會提供應用程式介面 (API,Application Programming Interface) ，方便開發者或機器間的資訊傳遞，攻擊者也有機會可以透過 API 執行特定的功能，或惡意的攻擊指令。

Hooking

工控環境內有許多 Windows 的主機，因此也有一些跟 Windows 相關的漏洞可以利用。

攻擊者可能會對 API 進行 Hook (掛勾)，來達成控制與執行的效果。

如同 ATT&CK Enterprise 中的 Input Capture: Credential API Hooking，攻擊者可能會 Hook 程式的流程、 IAT 表 (Import address table) 或是重新導向程式的流程。

Modify Controller Tasking

根據 IEC-61131-3 的定義， 控制器基於 POU (Program Organization Unit) 定義工作的任務，其中包含了許多的屬性，例如間格時間、頻率、優先順序等。攻擊者有可能修改控制器中的任務分配，如將自己的惡意指令綁定於高頻率、高優先的執行順序，達到操控控制器的流程等行為。