Day13 ATT&CK for ICS - Initial Access(3)

今日汇整几个会搞混的「Remote Service」，分别有可远端连线的服务、直接暴露在外网的服务、用第三方软件/程序可提供连线的服务、从 IT 进入到 OT 网路的远端服务。

T0886 Remote Services

工控网路内的设备开启可远端连线的服务（如远端桌面 RDP、SMB、SSH)，而这些服务遭受到骇客利用，导致骇客可以进行远端连线到工控网路内部或是传输敏感资料。常见提供远端服务的工控设备如 HMI 或工程师的工作站，也会提供图形化介面( RDP 或 VNC )加以连线，若骇客进入这些设备，还有机会横向移动到其他机器。

T0883 Internet Accessible Device

在工控场域内部可能有设备直接对外，暴露於公开网路中，这些设备可能是因为设定失误导致暴露在外，这些设备可以透过 nmap 等扫描工具，发现这些设备，并且利用已知漏洞进行攻击或是透过暴力破解密码的方式，甚至设备本身没有防护机制(身分验证)，因此当服务直接暴露於外网中，将导致任何人可以浏览、操作设备功能。

T0822 External Remote Services

工控场域若使用外部远端服务如 VPN、Citrix，透过这些服务进行身分验证(帐号密码验证後)可进入工控网路，因此恶意攻击者的目标为 VPN，包含 VPN 帐号密码窃取、利用已知漏洞攻击 VPN 软件。

T0886 Exploitation of Remote Services

攻击者透过蒐集资讯了解工控网路内部有哪些软件、设备、作业系统，并透过软件漏洞、作业系统已知漏洞进行攻击。如着名的攻击为 WannaCry 透过 SMB 相关的漏洞，从 IT 网路攻击到 OT 网路产生重大危害。