攻擊者已經進入工控環境之後,從自己的伺服器傳送指令給受害主機,如下指令打包受害主機的資料傳到攻擊者的伺服器。
攻擊者透過常見的 port 執行指令,為了繞過工控環境內部的防火牆,讓自己傳送的封包如同正當的傳輸封包。
協定 | port | 服務 |
---|---|---|
TCP | 80 | HTTP |
TCP | 443 | HTTPS |
TCP/UDP | 53 | DNS |
TCP | 1024-4999 | XP/Win2k3 的 OPC |
TCP | 49152-65535 | Vista 及更高版本上的 OPC |
TCP | 23 | TELNET |
UDP | 161 | SNMP |
TCP | 502 | MODBUS |
TCP | 102 | S7comm/ISO-TSAP |
TCP | 20000 | DNP3 |
TCP | 44818 | Ethernet/IP |
攻擊者透過代理伺服器作為網路傳輸的媒介, proxy 可能有多層的連接,在傳輸過程可以減少繞出對外網路的次數。
攻擊者透過常見的應用層協定: HTTP(S)、OPC、RDP、telnet、DNP3、modbus,有些惡意軟體透過 HTTP 傳送封包跟攻擊者的伺服器進行溝通。