Privilege Escalation

攻擊者嘗試在工控環境內取得更高的權限。

攻擊者進入工控環境後可能只有一般權限，需要更高的權限才能達到目的，因此會可能透過系統漏洞、工程師設定錯誤或設備的漏洞，達到提升權限的目的。

T0890 Exploitation for Privilege Escalation

攻擊者可能透過 HMI 或是安全儀器系統與防護繼電器的軟體漏洞來提升權限，甚至研究 ZeroDay 零時差漏洞進行攻擊，攻擊者會針對工控場域內設備中的作業系統、服務、程式碼、作業系統核心漏洞進行攻擊。

T0874 Hooking

如同 Execution 中，ATT&CK for ICS 也會有不同 Tactics(目標) 但手法相同的 Techniques，透過 Windows 的漏洞來提升權限。以 Windows API 的形式，透過 Hook 的手法，如修改程式執行流程、修改 IAT 表 (Import address table) 的值，以及重新導向程式的流程去執行攻擊者希望執行的指令。