Day11 ATT&CK for ICS - Initial Access(1)

Initial Access

针对初始访问阶段，恶意攻击者会利用各种方法进入工控场域，因此 Initial Access 所要达成的目标为进入工控网路的方法：

依照以下 13 种 Techniques 具体作法，达到目的：

1. 无线网路
2. 供应链攻击
3. 社交工程─鱼叉式恶意档案
4. 冒充合法设备
5. 利用随身碟
6. 远端服务(RDP、FTP、SMB)
7. 因设定失误而暴露於外网的服务，如 VNC
8. 合法远端服务(VPN、Citrix)
9. 利用已知漏洞，针对服务、韧体、硬体
10. 联网设备
11. 攻击资料历史服务器
12. 攻击工作站
13. 诱使使用者浏览恶意网站

T0860 Wireless Compromise

以无线网路作为突破口，破坏无线设备取得无线网路的权限，攻击者可能透过与目标网路相同频率的无线电或无线通讯设备进行连线。

T0862 Supply Chain Compromise

恶意攻击者会针对产品、软件、制程可能使用的套件、原厂进行攻击，植入恶意木马、後门等，导致已被影响的设备将流入工厂内部，此时攻击者就会进行攻击，闯入工控网路内部。

除了在产品、软件套件中植入後门，也有可能透过伪造产品的方式，如盗版设备等。

T0865 Spearphishing Attachment

恶意攻击者使用钓鱼信件夹带恶意档案，若员工没有资安意识，任意执行恶意程序，将导致主机或电脑设备感染，常见的恶意档案为 pdf、word、HTML、Excel。

T0848 Rogue Master

恶意攻击者会伪装工厂内部的机器，发送合法请求，且其他设备没有确认请求的真实性，如设定白名单验证、使用 VPN 等，导致生产过程被影响。

T0847 Replication Through Removable Media

恶意攻击者使用物理可连接的端口(如 USB、UART等)，透过有权限的厂商、承包商，其可能携带随身碟传输资料，导致使用随身碟插入内部机器时感染恶意程序。