攻擊者進入 ICS 工控環境之後,會利用許多手法讓自己保持跟 ICS 系統與設備的連線狀態,讓自己可以維持。
攻擊者透過竊取設備或工控環境內工程師的帳號密碼或是透過設備的預設密碼進行存取設備或系統,並進入系統後新增新的帳號
可以透過釣魚或水坑攻擊取得密碼,或是利用洩漏的帳號密碼以 RDP 的方式進入 CS 環境,常見的服務類型如 VPN、RDP、外網可存取的 HMI 介面。
攻擊者透過惡意的程式碼感染工控設備內部的物件、PLC 參數、設定檔案。攻擊者可使用工程軟體內建的功能,下載惡意檔案到 PLC 的主機裡面,並放入專案資料夾內,當載入專案的時候,惡意程式也會被執行,這個惡意程式可能會與攻擊者的主機進行連線,讓攻擊者有權限可以連回受害主機。