Day 19 ATT&CK for ICS - Evasion(1)

攻击者於入侵阶段要用来避免被发现，因此可以透过许多方式去避免侦测。

T0856 Spoof Reporting Message

攻击者伪造要回传给监控设备的资讯，如目前设备的状态、参数、等遥测资料，或是针对某设备，伪造假资料或是假指令，为了影响整体 ICS 环境，避免自己被发现。

T0849 Masquerading

将恶意程序伪装成正常档案，让工程师以为是正常档案，档案类型包含可执行档、设定档。

• 伪装成 update.exe
• 伪装常见的 DLL 档案，以拦截封包内容

T0872 Indicator Removal on Host

攻击者尝试删除、覆盖、掩盖目标机器的存在纪录、档案、内容(包含软件、事件日志、脚本、注册表中的注册码、设定值)甚至重置整台设备的状态，以掩盖入侵踪迹。