ID
| Name
| Description
|
ID
| Наименование
| Описание
|
T0800
| Activate Firmware Update Mode
| Adversaries may activate firmware update mode on devices to prevent expected response functions from engaging in reaction to an emergency or process malfunction. For example, devices such as protection relays may have an operation mode designed for firmware installation. This mode may halt process monitoring and related functions to allow new firmware to be loaded. A device left in update mode may be placed in an inactive holding state if no firmware is provided to it. By entering and leaving a device in this mode, the adversary may deny its usual functionalities.
|
Активация режима обновления прошивки
| Злоумышленники могут активировать режим обновления микропрограмм на устройствах, чтобы предотвратить срабатывание функций ожидаемого реагирования в случае аварии или сбоя процесса. Например, такие устройства, как реле защиты, могут иметь рабочий режим, предназначенный для установки прошивки. В этом режиме может быть остановлен мониторинг процесса и связанные с ним функции, чтобы можно было загрузить новую прошивку. Устройство, оставшееся в режиме обновления, может быть переведено в неактивное состояние, если ему не предоставлено микропрограммное обеспечение. Входя в устройство и выходя из него в этом режиме, злоумышленник может нарушить его стандартную функциональность.
|
T0878
| Alarm Suppression
| Adversaries may target protection function alarms to prevent them from notifying operators of critical conditions. Alarm messages may be a part of an overall reporting system and of particular interest for adversaries. Disruption of the alarm system does not imply the disruption of the reporting system as a whole. In the Maroochy Attack, the adversary suppressed alarm reporting to the central computer. A Secura presentation on targeting OT notes a dual fold goal for adversaries attempting alarm suppression: prevent outgoing alarms from being raised and prevent incoming alarms from being responded to. The method of suppression may greatly depend on the type of alarm in question: * An alarm raised by a protocol message * An alarm signaled with I/O * An alarm bit set in a flag (and read) In ICS environments, the adversary may have to suppress or contend with multiple alarms and/or alarm propagation to achieve a specific goal to evade detection or prevent intended responses from occurring. Methods of suppression may involve tampering or altering device displays and logs, modifying in memory code to fixed values, or even tampering with assembly level instruction code.
|
Подавление тревог
| Злоумышленники могут выбрать в качестве цели аварийную сигнализацию, чтобы помешать уведомлению операторов о критических состояниях. Сообщения тревог могут быть частью общей системы отчетности и представлять особый интерес для злоумышленников. Нарушение системы охранной сигнализации не означает нарушения системы отчетности в целом. В средах АСУ ТП злоумышленнику, возможно, придется подавлять или бороться с множественными сигналами тревоги и/или распространением сигналов тревоги для достижения определенной цели - уклонения от обнаружения или предотвращения появления намеченных ответов. Методы подавления могут включать вмешательство или изменение отображений и журналов устройства, изменение кода памяти на фиксированные значения или даже вмешательство в коды инструкций на уровне сборки.
|
T0802
| Automated Collection
| Adversaries may automate collection of industrial environment information using tools or scripts. This automated collection may leverage native control protocols and tools available in the control systems environment. For example, the OPC protocol may be used to enumerate and gather information. Access to a system or interface with these native protocols may allow collection and enumeration of other attached, communicating servers and devices.
|
Автоматизированный сбор
| Злоумышленники могут автоматизировать сбор информации о производственной среде с помощью инструментов или сценариев. Этот автоматизированный сбор данных может использовать собственные протоколы управления и инструменты, доступные в среде систем управления. Например, протокол OPC может использоваться для определения устройств и сбора информации. Доступ к системе или интерфейсу с этими собственными протоколами может позволить сбор и определение других подключенных или взаимодействующих серверов и устройств.
|
T0803
| Block Command Message
| Adversaries may block a command message from reaching its intended target to prevent command execution. In OT networks, command messages are sent to provide instructions to control system devices. A blocked command message can inhibit response functions from correcting a disruption or unsafe condition.
|
Блокирока управляющих сообщений
| Злоумышленники могут заблокировать управляющее сообщение от достижения намеченной цели, чтобы предотвратить выполнение команды. В сетях АСУ ТП командные сообщения отправляются для предоставления инструкций по управлению системными устройствами. Заблокированное командное сообщение может помешать функциям реагирования исправить нарушение или небезопасное состояние.
|
T0804
| Block Reporting Message
| Adversaries may block or prevent a reporting message from reaching its intended target. In control systems, reporting messages contain telemetry data (e.g., I/O values) pertaining to the current state of equipment and the industrial process. By blocking these reporting messages, an adversary can potentially hide their actions from an operator. Blocking reporting messages in control systems that manage physical processes may contribute to system impact, causing inhibition of a response function. A control system may not be able to respond in a proper or timely manner to an event, such as a dangerous fault, if its corresponding reporting message is blocked.
|
Блокировка сообщений-отчетов
| Злоумышленники могут заблокировать или помешать сообщению достичь намеченной цели. В АСУ ТП отчетные сообщения содержат данные телеметрии (например, значения входов/выходов), относящиеся к текущему состоянию оборудования и производственному процессу. Блокируя эти сообщения, злоумышленник потенциально может скрыть свои действия от оператора. Блокирование сообщений-отчетов, которые управляют физическими процессами, в АСУ ТП может привести к повреждению системы, вызывая подавление функции реагирования. АСУ ТП может быть не в состоянии должным образом или своевременно отреагировать на событие, такое как опасная неисправность, если ее соответствующее сообщение-отчет заблокировано.
|
T0805
| Block Serial COM
| Adversaries may block access to serial COM to prevent instructions or configurations from reaching target devices. Serial Communication ports (COM) allow communication with control system devices. Devices can receive command and configuration messages over such serial COM. Devices also use serial COM to send command and reporting messages. Blocking device serial COM may also block command messages and block reporting messages. A serial to Ethernet converter is often connected to a serial COM to facilitate communication between serial and Ethernet devices. One approach to blocking a serial COM would be to create and hold open a TCP session with the Ethernet side of the converter. A serial to Ethernet converter may have a few ports open to facilitate multiple communications. For example, if there are three serial COM available -- 1, 2 and 3 --, the converter might be listening on the corresponding ports 20001, 20002, and 20003. If a TCP/IP connection is opened with one of these ports and held open, then the port will be unavailable for use by another party. One way the adversary could achieve this would be to initiate a TCP session with the serial to Ethernet converter at 10.0.0.1 via Telnet on serial port 1 with the following command: telnet 10.0.0.1 20001.
|
Блокировка последовательного COM-порта
| Злоумышленники могут заблокировать доступ к последовательному COM-порту, чтобы инструкции или конфигурации не достигли целевых устройств. Порты последовательной связи (COM) обеспечивают связь с устройствами АСУ ТП. Устройства могут получать командные и конфигурационные сообщения через такой последовательный порт. Устройства также используют COM-порт для отправки управляющих и отчетных сообщений. Блокирование последовательного COM-порта устройства также может блокировать управляющие сообщения и сообщения отчетов. Конвертер последовательного интерфейса в Ethernet часто подключается к COM-порту для облегчения связи между последовательными устройствами и устройствами Ethernet. Один из подходов к блокировке COM-порта заключается в создании и удержании открытого сеанса TCP с интерфейсом Ethernet преобразователя. Конвертер может иметь несколько открытых портов для облегчения множественной связи. Например, если доступно три последовательных COM-порта - 1, 2 и 3 -,преобразователь может прослушивать соответствующие порты 20001, 20002 и 20003. Если соединение TCP/IP открыто с одним из этих портов и остается открытым, то порт будет недоступен для использования другой стороной. Один из способов, которым злоумышленник может добиться этого, - это инициировать сеанс TCP с преобразователем последовательного порта в Ethernet на 10.0.0.1 через Telnet по последовательному порту 1 с помощью следующей команды: telnet 10.0.0.1 20001.
|
T0806
| Brute Force I/O
| Adversaries may repetitively or successively change I/O point values to perform an action. Brute Force I/O may be achieved by changing either a range of I/O point values or a single point value repeatedly to manipulate a process function. The adversarys goal and the information they have about the target environment will influence which of the options they choose. In the case of brute forcing a range of point values, the adversary may be able to achieve an impact without targeting a specific point. In the case where a single point is targeted, the adversary may be able to generate instability on the process function associated with that particular point. Adversaries may use Brute Force I/O to cause failures within various industrial processes. These failures could be the result of wear on equipment or damage to downstream equipment.
|
Перебор входа/выхода
| Злоумышленники могут подобрать адреса ввода/вывода на устройстве и попытаться полностью выполнить какое-либо действие. Перебирая полный диапазон адресов ввода/вывода, злоумышленник может манипулировать выполнением процесса, не обращаясь к конкретным интерфейсам ввода/вывода. В целевом диапазоне ввода/вывода при попытке перебора может произойти более одного манипулирования процессом при переборе.
|
T0858
| Change Operating Mode
| Adversaries may change the operating mode of a controller to gain additional access to engineering functions such as Program Download. Programmable controllers typically have several modes of operation that control the state of the user program and control access to the controllers API. Operating modes can be physically selected using a key switch on the face of the controller but may also be selected with calls to the controllers API. Operating modes and the mechanisms by which they are selected often vary by vendor and product line. Some commonly implemented operating modes are described below:
|
Использование/изменение режима работы
| Злоумышленники могут перевести контроллеры в альтернативный режим работы, чтобы разрешить изменение настроек конфигурации для скрытного выполнения кода или для снижения функциональности устройства. Программируемые контроллеры обычно имеют несколько режимов работы. Эти режимы можно разделить на три основные категории: выполнение программы, редактирование программы и запись программы. Каждый из этих режимов переводит устройство в состояние, в котором доступны определенные функции. Например, режим редактирования программы позволяет вносить изменения в пользовательскую программу, пока устройство все еще включено. Переводя устройство в альтернативный режим работы, злоумышленник может изменить настройки конфигурации таким образом, чтобы нанести ущерб оборудованию и/или производственному процессу, связанному с целевым устройством. Противник также может использовать этот альтернативный режим для выполнения произвольного кода, который может использоваться для обхода защиты.
|
T0807
| Command-Line Interface
| Adversaries may utilize command-line interfaces (CLIs) to interact with systems and execute commands. CLIs provide a means of interacting with computer systems and are a common feature across many types of platforms and devices within control systems environments. Adversaries may also use CLIs to install and run new software, including malicious tools that may be installed over the course of an operation. CLIs are typically accessed locally, but can also be exposed via services, such as SSH, Telnet, and RDP. Commands that are executed in the CLI execute with the current permissions level of the process running the terminal emulator, unless the command specifies a change in permissions context. Many controllers have CLI interfaces for management purposes.
|
Интерфейс командной строки
| Злоумышленники могут использовать интерфейсы командной строки (CLI) для взаимодействия с системами и выполнения команд. Интерфейсы командной строки предоставляют средства взаимодействия с компьютерными системами и являются общей характеристикой многих типов платформ и устройств в средах АСУ ТП. Злоумышленники также могут использовать интерфейс командной строки для установки и запуска нового программного обеспечения, включая вредоносные инструменты, которые могут быть установлены в ходе операции. Интерфейсы командной строки обычно доступны локально, но также могут быть доступны через такие службы, как SSH, Telnet и RDP. Команды, которые выполняются в интерфейсе командной строки, выполняются с текущим уровнем разрешений процесса, запускающего эмулятор терминала, если команда не указывает изменение контекста разрешений. Многие контроллеры имеют интерфейсы командной строки для управления.
|
T0885
| Commonly Used Port
| Adversaries may communicate over a commonly used port to bypass firewalls or network detection systems and to blend in with normal network activity, to avoid more detailed inspection. They may use the protocol associated with the port, or a completely different protocol. They may use commonly open ports, such as the examples provided below.
|
Обычно используемый порт
| Злоумышленники могут обмениваться данными через обычно используемый порт, чтобы обойти брандмауэры или системы обнаружения сети и слиться с нормальной сетевой активностью, чтобы избежать более детальной проверки. Они могут использовать протокол, связанный с портом, или совершенно другой протокол.
|