iT邦幫忙

2021 iThome 鐵人賽

0
Security

不專業的工控安全筆記系列 第 31

Day31 ATT&CK for ICS - Inhibit Response Function(3)

T0814 Denial of Service

攻擊者為了破壞設備的功能,使用阻斷服務的攻擊,會在短時間大量送出封包,或是送出設備無法識別的封包內容,如 CVE-2015-5374,透過 UDP 協定的封包,針對 port 5000 進行攻擊。

有些設備可能沒有針對 Dos 攻擊進行防禦,可能就連簡單的 ping 封包,足以影響設備本身。

T0816 Device Restart/Shutdown

攻擊者針對 ICS 環境中強制重新開啟或關閉設備,利用破壞設備物理狀態影響設備本身,透過 web 介面、CLI介面、網路協定來執行重新開機或關閉。

CVE-2015-5374 不會直接造成設備重新開機或關機,但須要手動重新開機,設備才會正常執行。

T0835 Manipulate I/O Image

攻擊者透過操作 PLC 的 I/O Image 預防設備按造預期的執行方式進行執行。

I/O Image 指的是 PLC 進行掃描的流程時,物理輸入狀態會被 PLC 複製於記憶體中。確認要進行輸出的時候,會寫入於 PLC 記憶體內。


上一篇
Day30 ATT&CK for ICS - Inhibit Response Function(2)
下一篇
Day32 ATT&CK for ICS - Inhibit Response Function(4)
系列文
不專業的工控安全筆記38

尚未有邦友留言

立即登入留言