Day25 ATT&CK for ICS - Collection(1)

Collection

攻击者会为了取得 ICS 环境中感兴趣的资料，进而使用许多技巧，透过监控的方式收集网路环境内部、系统、设备与网路。

T0802 Automated Collection

攻击者透过工具与脚本透过自动收集的方式收集工业环境中使用的协定与资讯。
若该系统连接其他设备，也可以透过接口枚举与收集通讯过程、连接设备清单，并将这些资料送回去恶意攻击者的 C2 server。

T0811 Data from Information Repositories

攻击者会先访问工业环境内部的工作站或服务器，这些机器内部会包含 ICS、SCADA 系统的资料，如厂商名称、ICS 档案(接线图、layout)。或是透过蠕虫感染主机後，针对 AutoCAD 程序收集相关资料。

T0868 Detect Operating Mode

攻击者会收集 PLC 设备或是控制器的设备资讯，包含目前的控制模式如正在执行、是否可以远端控制、停止、重新设定、测试与监控模式。

• Program :更改控制器设备需要先启动 Program 的模式，可以允许设备与工作站，下载或上传需要的程序，在上传或下载期间可能会关闭所有的输出。
• Run :启动 Run 於设备中会监控使用者的输入与输出(包含参数、元素等)，且不能上传或下载需要的程序。
• Remote :该模式允许远端修改 PLC 的操作模式，有一些只能 local 端操作。
• Stop :该模式会造成 PLC 和 Program 停止运作，且输出会被强制关闭。
• Reset : PLC 上面的条件会重设成原始的状态，可分成 Warm resets 和 cold resets ，前者会保留部分记忆体的内容，後者则会重新设定 I/O 与资料暂存器。
• Test / Monitor mode :透过测试与监控模式，如 run 会处理 I/O 输出输入也会允许监控、强制设定、重新设定、一般系统的调整和测试，可利用监控与测试模式作为初始化的测试模式。