Day15 ATT&CK for ICS - Execution(2)

Change Operating Mode

攻击者修改 OT 设备的操作状态，为了要取得权限，PLC 有很多操作模式，可控制使用者的状态和控制器的 API 访问，与物理模式的选择，攻击者可能透过各种手段试图修改 PLC 的操作状态。

• 程序 : PLC 必为写入程序状态，才能使其与工程工作站间进行程序的上传与下载；当程序功能关闭时，通常 PLC 所有的输出都为低电位。
• 运行 : PLC 在运行的模式下，其输入、输出以及各暂存器等才会正常的依照程序的逻辑运作，且通常这种模式下，不得进行程序的上传以及下载。
• 远端 : 允许远距存取、修改 PLC 的工作状态。
• 停止 : 在这个状态下，PLC 的程序将会停止，且所有输出皆为关闭状态。
• 重设 : 会使 PLC 上的程序还原回初始状态。
• 测试 / 监控模式 : 类似於运行模式，但这种模式可以在程序运行途中进行设定、重制，或是动态修改程序状态。

Command-Line Interface

以指令介面，上一篇我们提到骇客使用了 GUI 介面操作，而这个技术则是透过指令介面(CLI)，来真对设备执行与操纵，许多的控制器也都有 CLI 的控制方式。攻击者可能透过指令介面安装或运行新的程序，并在过程中运行恶意程序。

通常来说，CLI 应该设定为仅能在内部执行，但很多时候也可能会藉由 SSH、Telnet 等方式意外将控制器的控制介面暴露，使攻击者有机可乘。

Execution through API

有些设备会提供应用程序介面 (API,Application Programming Interface) ，方便开发者或机器间的资讯传递，攻击者也有机会可以透过 API 执行特定的功能，或恶意的攻击指令。

Hooking

工控环境内有许多 Windows 的主机，因此也有一些跟 Windows 相关的漏洞可以利用。

攻击者可能会对 API 进行 Hook (挂勾)，来达成控制与执行的效果。

如同 ATT&CK Enterprise 中的 Input Capture: Credential API Hooking，攻击者可能会 Hook 程序的流程、 IAT 表 (Import address table) 或是重新导向程序的流程。

Modify Controller Tasking

根据 IEC-61131-3 的定义， 控制器基於 POU (Program Organization Unit) 定义工作的任务，其中包含了许多的属性，例如间格时间、频率、优先顺序等。攻击者有可能修改控制器中的任务分配，如将自己的恶意指令绑定於高频率、高优先的执行顺序，达到操控控制器的流程等行为。