Day12 ATT&CK for ICS - Initial Access(2)

T0819 Exploit Public-Facing Application

攻击者针对攻击已知弱点的软件/设备（资产管理系统、使用者操作软件、HMI）取得初始权限，会透过扫描工具如 nmap 或弱点扫描工具查看是否有对外公开的软件/设备，透过公开的版本号，可以找到可能有脆弱点的软件/设备，再进行攻击。

T0818 Engineering Workstation Compromise

攻击者攻击工程师工作站，可能透过有害的随身碟，或是利用社交攻击取得的权限，因工作站，工程师常使用工作站进行 Debug 因此工作站内，会有其他设备的连线资讯。

T0817 Drive-by Compromise

针对受害者进行社交攻击，诱使受害者浏览(路过)恶意网站，便有机会使受害者的系统被感染，恶意网站可能浏览时自动下载恶意软件於系统中。

T0810 Data Historian Compromise

攻击者攻击资料历史纪录服务器，取得历史纪录可了解工控网路内的资讯，如攻击 Microsoft Windows Server 2003 的 SQL Server 并取得 IT 环境与 OT 环境的网路资讯。