Перевод техник Mitre. Техники Mitre. Id name Description
Скачать 80.51 Kb.
|
T0884 | Connection Proxy | Adversaries may use a connection proxy to direct network traffic between systems or act as an intermediary for network communications. The definition of a proxy can also be expanded to encompass trust relationships between networks in peer-to-peer, mesh, or trusted connections between networks consisting of hosts or systems that regularly communicate with each other. The network may be within a single organization or across multiple organizations with trust relationships. Adversaries could use these types of relationships to manage command and control communications, to reduce the number of simultaneous outbound network connections, to provide resiliency in the face of connection loss, or to ride over existing trusted communications paths between victims to avoid suspicion. |
Прокси подключения | Злоумышленники могут использовать прокси-сервер подключения для направления сетевого трафика между системами или выступать в качестве посредника для сетевых коммуникаций. Определение прокси также может быть расширено, чтобы охватывать доверительные отношения между сетями в одноранговых, ячеистых или доверительных соединениях между сетями, состоящими из хостов или систем, которые регулярно обмениваются данными друг с другом. Сеть может находиться в одной организации или в нескольких организациях с доверительными отношениями. Злоумышленники могут использовать эти типы взаимоотношений для управления технологическими сетями, для уменьшения количества одновременных исходящих сетевых подключений, для обеспечения отказоустойчивости в случае потери подключения или для использования существующих надежных каналов связи между жертвами, чтобы избежать подозрений. | |
T0879 | Damage to Property | Adversaries may cause damage and destruction of property to infrastructure, equipment, and the surrounding environment when attacking control systems. This technique may result in device and operational equipment breakdown, or represent tangential damage from other techniques used in an attack. Depending on the severity of physical damage and disruption caused to control processes and systems, this technique may result in Loss of Safety. Operations that result in Loss of Control may also cause damage to property, which may be directly or indirectly motivated by an adversary seeking to cause impact in the form of Loss of Productivity and Revenue. The German Federal Office for Information Security (BSI) reported a targeted attack on a steel mill under an incidents affecting business section of its 2014 IT Security Report. These targeted attacks affected industrial operations and resulted in breakdowns of control system components and even entire installations. As a result of these breakdowns, massive impact and damage resulted from the uncontrolled shutdown of a blast furnace. In the Maroochy Attack, Vitek Boden gained remote computer access to the control system and altered data so that whatever function should have occurred at affected pumping stations did not occur or occurred in a different way. This ultimately led to 800,000 liters of raw sewage being spilled out into the community. The raw sewage affected local parks, rivers, and even a local hotel. This resulted in harm to marine life and produced a sickening stench from the community's now blackened rivers. A Polish student used a remote controller device to interface with the Lodz city tram system in Poland. Using this remote, the student was able to capture and replay legitimate tram signals. This resulted in damage to impacted trams, people, and the surrounding property. Reportedly, four trams were derailed and were forced to make emergency stops. Commands issued by the student may have also resulted in tram collisions, causing harm to those on board and the environment outside. |
Повреждение имущества | Злоумышленники могут вызвать повреждение и разрушение инфраструктуры, оборудования и окружающей среды при атаке на АСУ ТП. Этот метод может привести к поломке устройства и рабочего оборудования или представлять собой косвенный ущерб от других методов, используемых в атаке. В зависимости от серьезности физического повреждения и нарушения, вызванного процессами и системами управления, этот метод может привести к потере безопасности . Операции, приводящие к потере контроля, также могут причинить материальный ущерб, который может быть прямо или косвенно мотивирован противником, стремящимся оказать воздействие в форме потери производительности и доходов . | |
T0809 | Data Destruction | Adversaries may perform data destruction over the course of an operation. The adversary may drop or create malware, tools, or other non-native files on a target system to accomplish this, potentially leaving behind traces of malicious activities. Such non-native files and other data may be removed over the course of an intrusion to maintain a small footprint or as a standard part of the post-intrusion cleanup process. Data destruction may also be used to render operator interfaces unable to respond and to disrupt response functions from occurring as expected. An adversary may also destroy data backups that are vital to recovery after an incident. Standard file deletion commands are available on most operating system and device interfaces to perform cleanup, but adversaries may use other tools as well. Two examples are Windows Sysinternals SDelete and Active@ Killdisk. |
Уничтожение данных | Злоумышленники могут уничтожать данные в ходе операции. Для этого злоумышленник может сбросить или создать вредоносное ПО, инструменты или другие файлы, не являющиеся нативными, в целевой системе, потенциально оставляя после себя следы деятельности. Такие файлы и другие данные могут быть удалены в ходе вторжения, чтобы уменьшить количетсво следов, или как стандартная часть процесса очистки после вторжения. Уничтожение данных также может использоваться для того, чтобы сделать интерфейсы оператора неспособными отвечать и нарушить выполнение функций ответа. Злоумышленник также может уничтожить резервные копии данных, которые имеют жизненно важное значение для восстановления после инцидента. | |
T0811 | Data from Information Repositories | Adversaries may target and collect data from information repositories. This can include sensitive data such as specifications, schematics, or diagrams of control system layouts, devices, and processes. Examples of information repositories include reference databases or local machines in the process environment, as well as workstations and databases in the corporate network that might contain information about the ICS. Information collected from these systems may provide the adversary with a better understanding of the operational environment, vendors used, processes, or procedures of the ICS. In a campaign between 2011 and 2013 against ONG organizations, Chinese state-sponsored actors searched document repositories for specific information such as, system manuals, remote terminal unit (RTU) sites, personnel lists, documents that included the string SCAD*, user credentials, and remote dial-up access information. |
Данные из информационных хранилищ | Злоумышленники могут выбирать в качестве цели данные из информационных хранилищ. В них могут входить конфиденциальные данные, такие как спецификации, схемы или мнемосхемы АСУ ТП, устройств и процессов. Примеры репозиториев целевой информации включают справочные базы данных и локальные машины в среде АСУ ТП. | |
T0812 | Default Credentials | Adversaries may leverage manufacturer or supplier set default credentials on control system devices. These default credentials may have administrative permissions and may be necessary for initial configuration of the device. It is general best practice to change the passwords for these accounts as soon as possible, but some manufacturers may have devices that have passwords or usernames that cannot be changed. Default credentials are normally documented in an instruction manual that is either packaged with the device, published online through official means, or published online through unofficial means. Adversaries may leverage default credentials that have not been properly modified or disabled. |
Учетные данные по умолчанию | Злоумышленники могут использовать учетные данные производителя или поставщика, которые установлены по умолчанию на устройствах АСУ ТП. Эти учетные данные по умолчанию могут иметь административные полномочия и могут быть необходимы для начальной настройки устройства. Обычно рекомендуется как можно скорее изменить пароли для этих учетных записей, но некоторые производители могут иметь устройства с паролями или именами пользователей, которые нельзя изменить. Учетные данные по умолчанию обычно документируются в руководстве по эксплуатации, которое либо прилагается к устройству, публикуется в сети официальными средствами, либо публикуется в сети неофициальными средствами. Злоумышленники могут использовать учетные данные по умолчанию, которые не были должным образом изменены или отключены. | |
T0813 | Denial of Control | Adversaries may cause a denial of control to temporarily prevent operators and engineers from interacting with process controls. An adversary may attempt to deny process control access to cause a temporary loss of communication with the control device or to prevent operator adjustment of process controls. An affected process may still be operating during the period of control loss, but not necessarily in a desired state. In the Maroochy attack, the adversary was able to temporarily shut an investigator out of the network preventing them from issuing any controls. In the 2017 Dallas Siren incident operators were unable to disable the false alarms from the Office of Emergency Management headquarters. |
Отказ от контроля | Злоумышленники могут вызвать отказ в управлении, чтобы временно помешать операторам и инженерам взаимодействовать с элементами управления процессом. Злоумышленник может попытаться отказать в доступе к управлению процессом, чтобы вызвать временную потерю связи с устройством управления или предотвратить настройку оператором управления процессом. Затронутый процесс может все еще работать в течение периода потери контроля, но не обязательно в желаемом состоянии. | |
T0814 | Denial of Service | Adversaries may perform Denial-of-Service (DoS) attacks to disrupt expected device functionality. Examples of DoS attacks include overwhelming the target device with a high volume of requests in a short time period and sending the target device a request it does not know how to handle. Disrupting device state may temporarily render it unresponsive, possibly lasting until a reboot can occur. When placed in this state, devices may be unable to send and receive requests, and may not perform expected response functions in reaction to other events in the environment. Some ICS devices are particularly sensitive to DoS events, and may become unresponsive in reaction to even a simple ping sweep. Adversaries may also attempt to execute a Permanent Denial-of-Service (PDoS) against certain devices, such as in the case of the BrickerBot malware. Adversaries may exploit a software vulnerability to cause a denial of service by taking advantage of a programming error in a program, service, or within the operating system software or kernel itself to execute adversary-controlled code. Vulnerabilities may exist in software that can be used to cause a T1023 or denial of service condition. Adversaries may have prior knowledge about industrial protocols or control devices used in the environment through Remote System Information Discovery. There are examples of adversaries remotely causing a Device Restart/Shutdown by exploiting a vulnerability that induces uncontrolled resource consumption. In the Maroochy attack, the adversary was able to shut an investigator out of the network. |
Отказ в обслуживании | Злоумышленники могут выполнять атаки типа «отказ в обслуживании» (DoS), чтобы нарушить ожидаемую функциональность устройства. Примеры DoS-атак включают подавление целевого устройства большим объемом запросов за короткий период времени и отправку целевому устройству запроса, который оно не знает, как обработать. Нарушение состояния устройства может временно привести к тому, что оно перестанет отвечать на запросы, возможно, до тех пор, пока не произойдет перезагрузка. Находясь в этом состоянии, устройства могут быть не в состоянии отправлять и получать запросы и могут не выполнять ожидаемые функции в ответ на другие события в среде. Некоторые устройства АСУ ТП особенно чувствительны к событиям DoS и могут перестать отвечать даже на простую проверку связи. Злоумышленники также могут попытаться выполнить постоянный отказ в обслуживании (PDoS) в отношении определенных устройств, например, в случае вредоносного ПО. Злоумышленники могут использовать уязвимость программного обеспечения, чтобы вызвать отказ в обслуживании, воспользовавшись ошибкой в программе, службе, программном обеспечении операционной системы или самом ядре для выполнения кода, управляемого злоумышленником. В программном обеспечении могут существовать уязвимости, которые могут быть использованы для вызова состояния отказа в обслуживании. Злоумышленники могут иметь предварительные знания о промышленных протоколах или устройствах управления, используемых в среде, посредством Идентификации устройств управления . Существуют примеры, когда злоумышленники удаленно вызывают Перезапуск/завершение работы устройства, используя уязвимость, которая вызывает неконтролируемое потребление ресурсов. | |
T0815 | Denial of View | Adversaries may cause a denial of view in attempt to disrupt and prevent operator oversight on the status of an ICS environment. This may manifest itself as a temporary communication failure between a device and its control source, where the interface recovers and becomes available once the interference ceases. An adversary may attempt to deny operator visibility by preventing them from receiving status and reporting messages. Denying this view may temporarily block and prevent operators from noticing a change in state or anomalous behavior. The environment's data and processes may still be operational, but functioning in an unintended or adversarial manner. In the Maroochy attack, the adversary was able to temporarily shut an investigator out of the network, preventing them from viewing the state of the system. |
Отказ в просмотре | Злоумышленники могут вызвать отказ в просмотре, пытаясь нарушить и предотвратить надзор оператора за состоянием среды АСУ ТП. Это может проявляться как временный сбой связи между устройством и его источником управления, когда интерфейс восстанавливается и становится доступным после прекращения помех. Злоумышленник может попытаться ограничить оператору видимость, не позволяя ему получать сообщения о состоянии и отчеты. Отказ от этого может временно заблокировать и помешать операторам заметить изменение состояния или аномальное поведение. Данные и процессы среды могут по-прежнему работать, но функционировать незапланированным или вредным образом. | |
T0868 | Detect Operating Mode | Adversaries may gather information about a PLCs or controllers current operating mode. Operating modes dictate what change or maintenance functions can be manipulated and are often controlled by a key switch on the PLC (e.g., run, prog [program], and remote). Knowledge of these states may be valuable to an adversary to determine if they are able to reprogram the PLC. Operating modes and the mechanisms by which they are selected often vary by vendor and product line. Some commonly implemented operating modes are described below: |
Определить рабочий режим | Злоумышленники могут собирать информацию о текущем рабочем состоянии ПЛК. Режимы работы ЦП часто управляются переключателем на ПЛК. Примеры состояний, которые могут быть: выполнение, программирование, останов, удаленный режим, ошибка. Знание этих состояний может оказаться полезным для злоумышленника, чтобы определить, могут ли они перепрограммировать ПЛК. | |
|