Day 24 ATT&CK for ICS - Lateral Movement(2)

T0843 Program Download

攻击者可能透过程序下载已将使用者的程序码传输到控制器中，允许控制器在传输过程和重新设定的过程中继续执行程序，而不会中断控制器执行，但如果透过全部下载，控制器可能会停止状态，并影响到物理设备，

T0886 Remote Services

攻击者透过远端服务在资产与网路内移动，可能透过 RDP、SMB、SSH 进行横向移动，从第一台机器(入口)，透过 RDP 或是 VNC 移动到其他台 HMI 或是工程师的工作站，

T0859 Valid Accounts

攻击者窃取特定使用者或是服务的密码，进而进入其他设备，可能在内网的设备中有预设的密码，攻击者透过这些预设密码横向进入其他设备。