iT邦幫忙

2021 iThome 鐵人賽

DAY 28
0
Security

不專業的工控安全筆記系列 第 28

Day28 ATT&CK for ICS - Command and Control

Command and Control

攻擊者已經進入工控環境之後,從自己的伺服器傳送指令給受害主機,如下指令打包受害主機的資料傳到攻擊者的伺服器。

T0885 Commonly Used Port

攻擊者透過常見的 port 執行指令,為了繞過工控環境內部的防火牆,讓自己傳送的封包如同正當的傳輸封包。

協定 port 服務
TCP 80 HTTP
TCP 443 HTTPS
TCP/UDP 53 DNS
TCP 1024-4999 XP/Win2k3 的 OPC
TCP 49152-65535 Vista 及更高版本上的 OPC
TCP 23 TELNET
UDP 161 SNMP
TCP 502 MODBUS
TCP 102 S7comm/ISO-TSAP
TCP 20000 DNP3
TCP 44818 Ethernet/IP

T0884 Connection Proxy

攻擊者透過代理伺服器作為網路傳輸的媒介, proxy 可能有多層的連接,在傳輸過程可以減少繞出對外網路的次數。

T0869 Standard Application Layer Protocol

攻擊者透過常見的應用層協定: HTTP(S)、OPC、RDP、telnet、DNP3、modbus,有些惡意軟體透過 HTTP 傳送封包跟攻擊者的伺服器進行溝通。


上一篇
Day27 ATT&CK for ICS - Collection(3)
下一篇
Day29 ATT&CK for ICS - Inhibit Response Function(1)
系列文
不專業的工控安全筆記38

1 則留言

0
juck30808
iT邦新手 3 級 ‧ 2021-10-14 12:11:16

恭喜即將邁入完賽~/images/emoticon/emoticon08.gif

我要留言

立即登入留言