iT邦幫忙

2021 iThome 鐵人賽

DAY 21
0
Security

不專業的工控安全筆記系列 第 21

Day 21 ATT&CK for ICS - Discovery(1)

  • 分享至 

  • xImage
  •  

攻擊者針對 ICS 環境尋找有用的資訊,這些資訊包含 ICS 網路內 IP 、Hostname,可以協助攻擊者在橫向移動時使用。

T0840 Network Connection Enumeration

攻擊者透過指令枚舉網路設備的資訊,如 netstat、ipconfig,可以知道目前設備連接的網路狀態,也可以確認該設備目前於 ICS 網路的角色。也可以透過封包流量監控,取得資訊 IP 、Hostname、protocol、詳細內容。

T0842 Network Sniffing

透過監聽網路卡取得傳輸封包,若設備使用未加密的傳輸協定如 Telnet 或 HTTP ,因為沒有加密,因此透過攔截封包,可直接看到封包內容。也可透過 ARP 或 DNS poisoning (汙染)讓封包流量導向到攻擊者的機器,並取得傳輸過程中的帳號密碼或其他敏感資料。

T0846 Remote System Discovery

攻擊者可能取的 IP、Hostname或其他 ICS 往路中的設備列表,如 Triton 透過 Python 向 port 1502 發送指定的 UDP 傳輸封包來檢測 ICS 網路內部的 Triconex 控制器;PLC-Blaster 透過監聽 TCP port 102 掃描與定位西門子 S7 PLC 設備進行感染。


上一篇
Day 20 ATT&CK for ICS - Evasion(2)
下一篇
Day 22 ATT&CK for ICS - Discovery(2)
系列文
不專業的工控安全筆記38
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言