Day14 ATT&CK for ICS - Execution(1)

Execution

攻击者尝试任意执行程序码与指令、控制工控设备的功能、调整参数与修改资料。

T0863 User Execution

攻击者需要仰赖受害目标的使用者执行恶意程序、安装软件、下载信件的附件，甚至是诱使使用者以高权限执行档案或指令。

攻击者可能利用 word 或 excel 中的「巨集」功能，撰写恶意程序码如 Visual Basic，并引导使用者执行巨集
。

常见如利用信件寄送安装更新软件，但其实是木马、後门，或是 zip 压缩恶意程序，绕过信箱扫描。

T0853 Scripting

攻击者利用脚本语言如 PowerShell、VBScript、JavaScript、WScript，透过写好的恶意程序(脚本)，提供给受害目标，诱使受害者执行。

T0834 Native API

攻击者使用原生程序内部的 API 进行沟通，这些 API 可以影响硬体设备、记忆体或系统中的 process。

比如说利用 PLC 系统功能的 TCON 和 TDISCON 启动或结束与系统的 TCP 连线，透过 TRCV 和 TSEND 与设备发送或接收缓冲区的资料。

T0823 Graphical User Interface

攻击者透过图形化介面(GUI)进行攻击，设备可能支援 CLI 和 GUI，而骇客请向使用 GUI 的原因，可能是因为比较直觉，也可以直接透过滑鼠进行操作，可以透过 Linux 中 VNC 与 Windwos 的 RDP 协定，存取这些机器後，并利用 GUI 执行程序。