T0858 Change Operating Mode

如同Day15 ATT&CK for ICS - Execution(2)提到，攻擊者會修改 OT 設備(如控制器)的操作狀態，為了要取得權限，PLC 有很多操作模式，可控制使用者的狀態和控制器的 API 訪問，與物理模式的選擇，攻擊者可能透過各種手段試圖修改 PLC 的操作狀態。

T0820 Exploitation for Evasion

利用工控設備中中的系統、軟體、服務、作業系統之間安全設定中的弱點/漏洞來逃避檢測，攻擊者透過遠端系統資訊發現工控設備中可能具有安全功能，並透過這些功能加以利用。也透過上傳貨更新韌體功能，安裝惡意的韌體，並透過安全功能禁止使用「韌體 RAM/ROM 的檢查」已讓惡意韌體可順利安裝。

T0851 Rootkit

攻擊者部屬 Rookit 隱藏於執行行程、執行檔、文件、連線、服務、驅動程式和其他系統的元件，Rootkit 透過攔截、修改系統資訊的作業系統 API 來隱藏惡意程式/軟體。

rootkit 通常會偽裝於 dll 中，為了不被發現，會竄改 dll 內部的程式碼，可以把 rootkit 視為後門或是木馬。