iT邦幫忙

2021 iThome 鐵人賽

DAY 17
0
Security

不專業的工控安全筆記系列 第 17

Day 17 ATT&CK for ICS - Persistence(2)

  • 分享至 

  • xImage
  •  

T0857 System Firmware

韌體做為跟硬體的互動的橋樑,若設備中的可能有韌體安全的問題,設備廠商可能透過線上更新,但有些無法支援更新的設備,可能就有重大漏洞的危害。

針對線上更新,廠商會請使用者去官網下載新版韌體,並透過設備內部更新韌體的功能,上傳韌體,或是在設備內有自動更新的功能。

攻擊者會嘗試修改韌體的內容,並上傳惡意的韌體,並取得設備的權限。

T0839 Module Firmware

攻擊者針對模組化的韌體,所謂模組化的韌體指的是設備內部的功能,主韌體跟功能韌體是分開維護的。

攻擊者可能會針對 Ethernet Card 進行攻擊

  • Delayed Attack - 攻擊者可能會有特定期間的攻擊,提前攻擊或選擇時間點攻擊。
  • Brick the Ethernet Card - 惡意的韌體會造成 Ethernet Card 損毀,導致無法使用並退回原廠。
  • "Random" Attack or Failure - 攻擊者可能會將惡意韌體放入設備中,以隨機的方式執行攻擊。
  • A Field Device Worm - 蠕蟲的特性是傳播感染病毒,而攻擊者可能會針對工廠內其中一個設備進行攻擊,並且植入蠕蟲感染到全系統內。
  • Attack Other Cards on the Field Device - 攻擊其他 card 有機會影響到 Ethernet Card

T0889 Modify Program

攻擊者針對工控場域中的控制器與程式組織單元 (POU)進行攻擊,感染 PLC 或撰寫其他惡意的程式碼,可能是新增惡意功能、修改控制器原本的程式碼等方法。


上一篇
Day 16 ATT&CK for ICS - Persistence(1)
下一篇
Day 18 ATT&CK for ICS - Privilege Escalation
系列文
不專業的工控安全筆記38
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言