Day 17 ATT&CK for ICS - Persistence(2)

T0857 System Firmware

韧体做为跟硬体的互动的桥梁，若设备中的可能有韧体安全的问题，设备厂商可能透过线上更新，但有些无法支援更新的设备，可能就有重大漏洞的危害。

针对线上更新，厂商会请使用者去官网下载新版韧体，并透过设备内部更新韧体的功能，上传韧体，或是在设备内有自动更新的功能。

攻击者会尝试修改韧体的内容，并上传恶意的韧体，并取得设备的权限。

T0839 Module Firmware

攻击者针对模组化的韧体，所谓模组化的韧体指的是设备内部的功能，主韧体跟功能韧体是分开维护的。

攻击者可能会针对 Ethernet Card 进行攻击

• Delayed Attack - 攻击者可能会有特定期间的攻击，提前攻击或选择时间点攻击。
• Brick the Ethernet Card - 恶意的韧体会造成 Ethernet Card 损毁，导致无法使用并退回原厂。
• "Random" Attack or Failure - 攻击者可能会将恶意韧体放入设备中，以随机的方式执行攻击。
• A Field Device Worm - 蠕虫的特性是传播感染病毒，而攻击者可能会针对工厂内其中一个设备进行攻击，并且植入蠕虫感染到全系统内。
• Attack Other Cards on the Field Device - 攻击其他 card 有机会影响到 Ethernet Card

T0889 Modify Program

攻击者针对工控场域中的控制器与程序组织单元 （POU）进行攻击，感染 PLC 或撰写其他恶意的程序码，可能是新增恶意功能、修改控制器原本的程序码等方法。