Главная страница

Перевод техник Mitre. Техники Mitre. Id name Description


Скачать 80.51 Kb.
НазваниеId name Description
АнкорПеревод техник Mitre
Дата12.10.2022
Размер80.51 Kb.
Формат файлаdocx
Имя файлаТехники Mitre.docx
ТипДокументы
#728911
страница3 из 8
1   2   3   4   5   6   7   8
1   2   3   4   5   6   7   8
T0816

Device Restart/Shutdown

Adversaries may forcibly restart or shutdown a device in an ICS environment to disrupt and potentially negatively impact physical processes. Methods of device restart and shutdown exist in some devices as built-in, standard functionalities. These functionalities can be executed using interactive device web interfaces, CLIs, and network protocol commands. Unexpected restart or shutdown of control system devices may prevent expected response functions happening during critical states. A device restart can also be a sign of malicious device modifications, as many updates require a shutdown in order to take effect.

Перезагрузка/выключение устройства

Злоумышленники могут принудительно перезапустить или выключить устройство в среде АСУ ТП, чтобы нарушить и потенциально оказать неблагоприятное воздействие на физические процессы, которые оно помогает контролировать. Методы перезапуска и выключения устройства существуют как встроенные стандартные функции. Это может включать, среди прочего, интерактивные веб-интерфейсы устройств, интерфейсы командной строки и команды сетевого протокола. Перезапуск или завершение работы устройства также может произойти в результате перевода устройства в альтернативный режим работы для тестирования или загрузки микропрограммного обеспечения.

Неожиданный перезапуск или выключение устройств системы управления может способствовать удару, не позволяя функциям ожидаемого ответа активироваться и приниматься в критических состояниях. Это также может быть признаком злонамеренной модификации устройства, поскольку многие обновления требуют завершения работы.
Например, функциональный код DNP3 0x0D может сбросить и перенастроить удаленные станции DNP3, заставив их выполнить полный цикл питания.
В ходе атаки на украинскую электросеть в 2015 году злоумышленники получили доступ к сетям управления трех различных энергокомпаний. Злоумышленники запланировали отключение систем бесперебойного электропитания (ИБП), чтобы при отключении питания от подстанций устройства отключились и обслуживание не могло быть восстановлено.

T0817

Drive-by Compromise

Adversaries may gain access to a system during a drive-by compromise, when a user visits a website as part of a regular browsing session.With this technique, the user's web browser is targeted and exploited simply by visiting the compromised website. The adversary may target a specific community, such as trusted third party suppliers or other industry specific groups, which often visit the target website. This kind of targeted attack relies on a common interest, and is known as a strategic web compromise or watering hole attack. The National Cyber Awareness System (NCAS) has issued a Technical Alert (TA) regarding Russian government cyber activity targeting critical infrastructure sectors. Analysis by DHS and FBI has noted two distinct categories of victims in the Dragonfly campaign on the Western energy sector: staging and intended targets. The adversary targeted the less secure networks of staging targets, including trusted third-party suppliers and related peripheral organizations. Initial access to the intended targets used watering hole attacks to target process control, ICS, and critical infrastructure related trade publications and informational websites.

Теневая загрузка

Злоумышленники могут получить доступ к системе во время компрометации используемого ресурса, когда пользователь посещает веб-сайт в рамках обычного сеанса просмотра. С помощью этого метода веб-браузер пользователя становится целью и используется просто путем посещения скомпрометированного веб-сайта.
Злоумышленник может нацеливаться на конкретное сообщество, такое как доверенные сторонние поставщики или другие отраслевые группы, которые часто посещают целевой веб-сайт. Такая целевая атака основана на общих интересах и известна как стратегическая атака с взломом сети или атака водопоя.

T0871

Execution through API

Adversaries may attempt to leverage Application Program Interfaces (APIs) used for communication between control software and the hardware. Specific functionality is often coded into APIs which can be called by software to engage specific functions on a device or other software.

Выполнение через интерфейсы прикладных программ

Злоумышленники могут попытаться использовать интерфейсы прикладных программ (API), используемые для связи между управляющим программным обеспечением и оборудованием. Конкретная функциональность часто закодирована в API, которые могут быть задействованы программным обеспечением для активации определенных функций на устройстве или другом программном обеспечении, например, изменение состояния программы на ПЛК.

T0819

Exploit Public-Facing Application

Adversaries may leverage weaknesses to exploit internet-facing software for initial access into an industrial network. Internet-facing software may be user applications, underlying networking implementations, an assets operating system, weak defenses, etc. Targets of this technique may be intentionally exposed for the purpose of remote management and visibility. An adversary may seek to target public-facing applications as they may provide direct access into an ICS environment or the ability to move into the ICS network. Publicly exposed applications may be found through online tools that scan the internet for open ports and services. Version numbers for the exposed application may provide adversaries an ability to target specific known vulnerabilities. Exposed control protocol or remote access ports found in Commonly Used Port may be of interest by adversaries.

Компрометация публичного приложения

Злоумышленники могут пытаться использовать общедоступные приложения, чтобы использовать слабые места в компьютерных системах, программах или активах, подключенных к Интернету, чтобы вызвать непреднамеренное или неожиданное поведение. Эти общедоступные приложения могут включать в себя пользовательские интерфейсы, программное обеспечение, данные или команды. В частности, общедоступное приложение в ИТ-среде может предоставить злоумышленникам интерфейс в технологической среде.

T0820

Exploitation for Evasion

Adversaries may exploit a software vulnerability to take advantage of a programming error in a program, service, or within the operating system software or kernel itself to evade detection. Vulnerabilities may exist in software that can be used to disable or circumvent security features. Adversaries may have prior knowledge through Remote System Information Discovery about security features implemented on control devices. These device security features will likely be targeted directly for exploitation. There are examples of firmware RAM/ROM consistency checks on control devices being targeted by adversaries to enable the installation of malicious System Firmware.

Применения уклонения

Злоумышленники могут использовать уязвимость программного обеспечения, чтобы воспользоваться ошибкой программирования в программе, службе или в программном обеспечении операционной системы или в самом ядре, чтобы избежать обнаружения. В программном обеспечении могут существовать уязвимости, которые можно использовать для отключения или обхода функций безопасности. Злоумышленники могут иметь предварительную информацию (например, идентифицировав устройства) о функциях безопасности, реализованных на управляющих устройствах. Эти функции безопасности устройства, скорее всего, будут непосредственно выбраны в качестве цели злоумышленником. Существуют примеры проверки целостности ОЗУ/ПЗУ микропрограммами на управляющих устройствах, на которые нацелены злоумышленники, чтобы обеспечить установку вредоносной системной микропрограммы .

T0890

Exploitation for Privilege Escalation

Adversaries may exploit software vulnerabilities in an attempt to elevate privileges. Exploitation of a software vulnerability occurs when an adversary takes advantage of a programming error in a program, service, or within the operating system software or kernel itself to execute adversary-controlled code. Security constructs such as permission levels will often hinder access to information and use of certain techniques, so adversaries will likely need to perform privilege escalation to include use of software exploitation to circumvent those restrictions. When initially gaining access to a system, an adversary may be operating within a lower privileged process which will prevent them from accessing certain resources on the system. Vulnerabilities may exist, usually in operating system components and software commonly running at higher permissions, that can be exploited to gain higher levels of access on the system. This could enable someone to move from unprivileged or user level permissions to SYSTEM or root permissions depending on the component that is vulnerable. This may be a necessary step for an adversary compromising an endpoint system that has been properly configured and limits other privilege escalation methods.

Экслуатация уязвимостей для повышения привелегий

 

T0866

Exploitation of Remote Services

Adversaries may exploit a software vulnerability to take advantage of a programming error in a program, service, or within the operating system software or kernel itself to enable remote service abuse. A common goal for post-compromise exploitation of remote services is for initial access into and lateral movement throughout the ICS environment to enable access to targeted systems. ICS asset owners and operators have been affected by ransomware (or disruptive malware masquerading as ransomware) migrating from enterprise IT to ICS environments: WannaCry, NotPetya, and BadRabbit. In each of these cases, self-propagating (wormable) malware initially infected IT networks, but through exploit (particularly the SMBv1-targeting MS17-010 vulnerability) spread to industrial networks, producing significant impacts.

Использование удаленных сервисов

Злоумышленники могут эксплуатировать уязвимость программного обеспечения, чтобы воспользоваться ошибкой кода в программе, службе или в программном обеспечении операционной системы или в самом ядре, чтобы атаковать с помощью удаленной службы. Общей целью использования удаленных сервисов после взлома является боковое перемещение для обеспечения доступа к удаленной системе. Владельцы и операторы АСУ ТП пострадали от программ-вымогателей (или вредоносных программ, маскирующихся под программы-вымогатели), мигрирующих из корпоративных сред в среды АСУ ТП: WannaCry, NotPetya и BadRabbit. В каждом из этих случаев самораспространяющееся («червячное») вредоносное ПО первоначально заражало ИТ-сети, но через эксплойт (в частности, уязвимость MS17-010, нацеленную на SMBv1) распространилось на промышленные сети, оказав значительное воздействие.

T0822

External Remote Services

Adversaries may leverage external remote services as a point of initial access into your network. These services allow users to connect to internal network resources from external locations. Examples are VPNs, Citrix, and other access mechanisms. Remote service gateways often manage connections and credential authentication for these services. External remote services allow administration of a control system from outside the system. Often, vendors and internal engineering groups have access to external remote services to control system networks via the corporate network. In some cases, this access is enabled directly from the internet. While remote access enables ease of maintenance when a control system is in a remote area, compromise of remote access solutions is a liability. The adversary may use these services to gain access to and execute attacks against a control system network. Access to valid accounts is often a requirement. As they look for an entry point into the control system network, adversaries may begin searching for existing pointtopoint VPN implementations at trusted third party networks or through remote support employee connections where split tunneling is enabled. In the Maroochy Attack, the adversary was able to gain remote computer access to the system over radio.

Внешние удаленные сервисы

Злоумышленники могут использовать внешние удаленные сервисы в качестве точки первоначального доступа к вашей сети. Эти службы позволяют пользователям подключаться к внутренним сетевым ресурсам из внешних источников. Примерами являются VPN, Citrix и другие механизмы доступа. Шлюзы удаленных сервисов часто управляют подключениями и аутентификацией учетных данных для этих служб.
внешние удаленные сервисы позволяют администрировать АСУ ТП извне. Часто поставщики и внутренние инженерные группы имеют доступ к внешним удаленным сервисам для управления сетями АСУ ТП через корпоративную сеть. В некоторых случаях этот доступ предоставляется прямо из Интернета. Злоумышленник может использовать эти службы для получения доступа к сети АСУ ТП и выполнения атак против нее. Доступ к действующим учетным записям часто является обязательным.

T0823

Graphical User Interface

Adversaries may attempt to gain access to a machine via a Graphical User Interface (GUI) to enhance execution capabilities. Access to a GUI allows a user to interact with a computer in a more visual manner than a CLI. A GUI allows users to move a cursor and click on interface objects, with a mouse and keyboard as the main input devices, as opposed to just using the keyboard. If physical access is not an option, then access might be possible via protocols such as VNC on Linux-based and Unix-based operating systems, and RDP on Windows operating systems. An adversary can use this access to execute programs and applications on the target machine. In the Oldsmar water treatment attack, adversaries utilized the operator HMI interface through the graphical user interface. This action led to immediate operator detection as they were able to see the adversary making changes on their screen.

Графический интерфейс пользователя

Злоумышленники могут попытаться получить доступ к машине через графический интерфейс пользователя (GUI) для расширения возможностей по выполнению. Графический интерфейс пользователя позволяет пользователям перемещать курсор и щелкать по объектам интерфейса с помощью мыши и клавиатуры в качестве основных устройств ввода, а не только клавиатуры.
Если физический доступ невозможен, доступ может быть возможен через такие протоколы, как VNC в операционных системах на базе Linux и Unix и RDP в операционных системах Windows. Злоумышленник может использовать этот доступ для выполнения программ и приложений на целевой машине.

T0874

Hooking

Adversaries may hook into application programming interface (API) functions used by processes to redirect calls for execution and privilege escalation means. Windows processes often leverage these API functions to perform tasks that require reusable system resources. Windows API functions are typically stored in dynamic-link libraries (DLLs) as exported functions. One type of hooking seen in ICS involves redirecting calls to these functions via import address table (IAT) hooking. IAT hooking uses modifications to a processs IAT, where pointers to imported API functions are stored.

Перехват

Злоумышленники могут подключаться к функциям интерфейса прикладного программирования (API), используемым процессами для перенаправления вызовов для постоянных задач. Процессы Windows часто используют эти функции API для выполнения задач, требующих многократного использования системных ресурсов. Функции Windows API обычно хранятся в библиотеках динамической компоновки (DLL) как экспортируемые функции. Один из типов перехвата, наблюдаемый в АСУ ТП, включает перенаправление вызовов этих функций посредством перехвата таблицы адресов импорта (IAT). Перехват IAT использует модификации IAT процесса, где хранятся указатели на импортированные функции API.



написать администратору сайта