因為還沒有把 ATT&CK for ICS 的所有技術都看完,所以明天完賽還是會完成剩下的 tech。
攻擊者會針對工控場域的環境內的安全機制、保護設備、保護措施進行干擾,目的是希望不要對故障狀態、危險狀態與不安全的狀態做出回應。
攻擊者會針對啟動設備中的韌體更新模式,在更新模式之下,緊急告警或設備故障可能就不會發出警報。
設備警報可能由封包傳送、I/O 傳送、Flag 傳送,攻擊者會針對警報功能進行竄改設備的程式碼、指令或設備 log 來逃避檢測。
攻擊者會透過惡意的韌體讓設備無法執行讓阻止設備的指令,或是透過開啟端口,只是為了不讓其他的 Process 去讀取。