Day 21 ATT&CK for ICS - Discovery(1)

攻击者针对 ICS 环境寻找有用的资讯，这些资讯包含 ICS 网路内 IP 、Hostname，可以协助攻击者在横向移动时使用。

T0840 Network Connection Enumeration

攻击者透过指令枚举网路设备的资讯，如 netstat、ipconfig，可以知道目前设备连接的网路状态，也可以确认该设备目前於 ICS 网路的角色。也可以透过封包流量监控，取得资讯 IP 、Hostname、protocol、详细内容。

T0842 Network Sniffing

透过监听网路卡取得传输封包，若设备使用未加密的传输协定如 Telnet 或 HTTP ，因为没有加密，因此透过拦截封包，可直接看到封包内容。也可透过 ARP 或 DNS poisoning (污染)让封包流量导向到攻击者的机器，并取得传输过程中的帐号密码或其他敏感资料。

T0846 Remote System Discovery

攻击者可能取的 IP、Hostname或其他 ICS 往路中的设备列表，如 Triton 透过 Python 向 port 1502 发送指定的 UDP 传输封包来检测 ICS 网路内部的 Triconex 控制器；PLC-Blaster 透过监听 TCP port 102 扫描与定位西门子 S7 PLC 设备进行感染。