T0877 I/O Image

PLC 的輸入輸出狀態都會儲存於 I/O Image，因此攻擊者會針對 PLC 存取 I/O Image，輸入端可能包含設備的溫度高低、目前閘門的狀態，這些資訊都會從設備的 input 輸入端口傳送 PLC 內部進行儲存。

T0830 Man in the Middle

攻擊者如果取得高權限的帳號，可能會根據這個帳號有的權限，去察看是否有能力可以攔截設備跟設備之間的傳輸流量。

中間人攻擊可以監聽、查看、修改封包內容，也可以達到 T0804 Block Reporting Message、T0856 Spoof Reporting Message、T0836 Modify Parameter、T0855 Unauthorized Command Message，四種攻擊。

T0801 Monitor Process State

攻擊者為了取得實體設備的狀態，會透過協定 IEC 61850 發送請求，讀取目標設備的狀態，也會針對 OPC tag、歷史資料、重要的 PLC 資訊與網路流量。