Day 23 ATT&CK for ICS - Lateral Movement(1)

横向移动

攻击者尝试从进入工控网路的其中一个设备，横向移动到另外一台设备中。

T0812 Default Credentials

许多厂商出厂时会提供预设的帐号密码，这些帐号密码可能有管理权限，因此企业购买新产品，要先确认是否包含预设帐号密码，甚至有一些设备无法更改预设的帐号密码。

攻击者先收集工厂所使用的设备，并可从设备厂商的使用手册查到预设的帐号密码，再进一步利用这些预设帐号密码进行登入，其中恶意软件 Stuxnet 就是使用 WinCC 软件中的资料库服务器预设密码进行攻击。

T0866 Exploitation of Remote Services

如同初始访问阶段中提到恶意攻击者利用软件、系统、服务、作业系统、核心的漏洞进行攻击，一样攻击者进入内网之後确认环境内部的其他设备、机器、系统，再进行攻击，其中最常见的就是 MS17-010。

T0867 Lateral Tool Transfer

恶意攻击者可能透过横向移动的工具进行攻击，如 Bad Rabbit、NotPetya、WannaCry 都是透过 SMB 漏洞的横向移动软件/工具，因为 SMB 有共享的特性，因此可以透过 SMB 达到传播病毒。