iT邦幫忙

2021 iThome 鐵人賽

DAY 16
0
Security

不專業的工控安全筆記系列 第 16

Day 16 ATT&CK for ICS - Persistence(1)

  • 分享至 

  • xImage
  •  

攻擊者進入 ICS 工控環境之後,會利用許多手法讓自己保持跟 ICS 系統與設備的連線狀態,讓自己可以維持。

T0859 Valid Accounts

攻擊者透過竊取設備或工控環境內工程師的帳號密碼或是透過設備的預設密碼進行存取設備或系統,並進入系統後新增新的帳號

可以透過釣魚或水坑攻擊取得密碼,或是利用洩漏的帳號密碼以 RDP 的方式進入 CS 環境,常見的服務類型如 VPN、RDP、外網可存取的 HMI 介面。

T0873 Project File Infection

攻擊者透過惡意的程式碼感染工控設備內部的物件、PLC 參數、設定檔案。攻擊者可使用工程軟體內建的功能,下載惡意檔案到 PLC 的主機裡面,並放入專案資料夾內,當載入專案的時候,惡意程式也會被執行,這個惡意程式可能會與攻擊者的主機進行連線,讓攻擊者有權限可以連回受害主機。


上一篇
Day15 ATT&CK for ICS - Execution(2)
下一篇
Day 17 ATT&CK for ICS - Persistence(2)
系列文
不專業的工控安全筆記38
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言