Перевод техник Mitre. Техники Mitre. Id name Description
 Скачать 80.51 Kb.
|
|
T0877 | I/O Image | Adversaries may seek to capture process values related to the inputs and outputs of a PLC. During the scan cycle, a PLC reads the status of all inputs and stores them in an image table. The image table is the PLCs internal storage location where values of inputs/outputs for one scan are stored while it executes the user program. After the PLC has solved the entire logic program, it updates the output image table. The contents of this output image table are written to the corresponding output points in I/O Modules. The Input and Output Image tables described above make up the I/O Image on a PLC. This image is used by the user program instead of directly interacting with physical I/O. Adversaries may collect the I/O Image state of a PLC by utilizing a devices Native API to access the memory regions directly. The collection of the PLCs I/O state could be used to replace values or inform future stages of an attack. |
| Образ ввода/вывода | Злоумышленники могут стремиться получить значения образа процесса, относящиеся к входам и выходам ПЛК. В ПЛК все состояния ввода и вывода сохраняются в образе ввода/вывода. Этот образ используется пользовательской программой вместо прямого взаимодействия с физическим вводом/выводом. | |
| T0872 | Indicator Removal on Host | Adversaries may attempt to remove indicators of their presence on a system in an effort to cover their tracks. In cases where an adversary may feel detection is imminent, they may try to overwrite, delete, or cover up changes they have made to the device. |
| Удаление индикаторов на хосте | Злоумышленники могут попытаться удалить индикаторы своего присутствия в системе, чтобы замести следы. В случаях, когда злоумышленник предполагает, что обнаружение неизбежно, он может попытаться перезаписать, удалить или скрыть изменения, внесенные в устройство. | |
| T0883 | Internet Accessible Device | Adversaries may gain access into industrial environments through systems exposed directly to the internet for remote access rather than through External Remote Services. Internet Accessible Devices are exposed to the internet unintentionally or intentionally without adequate protections. This may allow for adversaries to move directly into the control system network. Access onto these devices is accomplished without the use of exploits, these would be represented within the Exploit Public-Facing Application technique. Adversaries may leverage built in functions for remote access which may not be protected or utilize minimal legacy protections that may be targeted. These services may be discoverable through the use of online scanning tools. In the case of the Bowman dam incident, adversaries leveraged access to the dam control network through a cellular modem. Access to the device was protected by password authentication, although the application was vulnerable to brute forcing. In Trend Micros manufacturing deception operations adversaries were detected leveraging direct internet access to an ICS environment through the exposure of operational protocols such as Siemens S7, Omron FINS, and EtherNet/IP, in addition to misconfigured VNC access. |
| Устройство с доступом в Интернет | Злоумышленники могут получить доступ к промышленным средам напрямую через системы, подключенные к Интернету для удаленного доступа, а не через внешние удаленные сервисы. Минимальные средства защиты, обеспечиваемые этими устройствами, такие как аутентификация по паролю, могут быть выявлены и скомпрометированы. | |
| T0867 | Lateral Tool Transfer | Adversaries may transfer tools or other files from one system to another to stage adversary tools or other files over the course of an operation. Copying of files may also be performed laterally between internal victim systems to support Lateral Movement with remote Execution using inherent file sharing protocols such as file sharing over SMB to connected network shares. In control systems environments, malware may use SMB and other file sharing protocols to move laterally through industrial networks. |
| Удаленное копирование файлов | Злоумышленники могут копировать файлы из одной системы в другую, чтобы подготовить средства атаки или другие файлы в ходе операции. Копирование файлов также может выполняться латерально между внутренними системами-жертвами для поддержки Бокового перемещения и удаленного Выполнения с использованием встроенных протоколов совместного использования файлов, таких как совместное использование файлов через SMB в подключенных общих сетевых ресурсах. В средах АСУ ТП вредоносные программы могут использовать SMB и другие протоколы обмена файлами для горизонтального перемещения по промышленным сетям. | |
| T0826 | Loss of Availability | Adversaries may attempt to disrupt essential components or systems to prevent owner and operator from delivering products or services. Adversaries may leverage malware to delete or encrypt critical data on HMIs, workstations, or databases. In the 2021 Colonial Pipeline ransomware incident, pipeline operations were temporally halted on May 7th and were not fully restarted until May 12th. |
| Потеря доступности | Злоумышленники могут попытаться нарушить работу основных компонентов или систем, чтобы помешать владельцу и оператору предоставлять продукты или услуги. Злоумышленники могут использовать вредоносное ПО для удаления или шифрования критически важных данных на человеко-машинном интерфейсе, рабочих станциях или базах данных. | |
| T0827 | Loss of Control | Adversaries may seek to achieve a sustained loss of control or a runaway condition in which operators cannot issue any commands even if the malicious interference has subsided. The German Federal Office for Information Security (BSI) reported a targeted attack on a steel mill in its 2014 IT Security Report. These targeted attacks affected industrial operations and resulted in breakdowns of control system components and even entire installations. As a result of these breakdowns, massive impact resulted in damage and unsafe conditions from the uncontrolled shutdown of a blast furnace. |
| Потеря управления | Злоумышленники могут стремиться к устойчивой потере управления или выходу из-под контроля, при котором операторы не могут отдавать какие-либо команды, даже если злонамеренное вмешательство прекратилось. | |
| T0828 | Loss of Productivity and Revenue | Adversaries may cause loss of productivity and revenue through disruption and even damage to the availability and integrity of control system operations, devices, and related processes. This technique may manifest as a direct effect of an ICS-targeting attack or tangentially, due to an IT-targeting attack against non-segregated environments. In cases where these operations or services are brought to a halt, the loss of productivity may eventually present an impact for the end-users or consumers of products and services. The disrupted supply-chain may result in supply shortages and increased prices, among other consequences. A ransomware attack on an Australian beverage company resulted in the shutdown of some manufacturing sites, including precautionary halts to protect key systems. The company announced the potential for temporary shortages of their products following the attack. In the 2021 Colonial Pipeline ransomware incident, the pipeline was unable to transport approximately 2.5 million barrels of fuel per day to the East Coast. |
| Потеря производительности и доходов | Злоумышленники могут вызвать потерю производительности и доходов из-за нарушения доступности и даже целостности АСУ ТП, устройств и связанных процессов. Этот метод может проявляться как прямой эффект атаки, нацеленной на АСУ ТП, или косвенно, из-за атаки, направленной на ИТ, в несегрегированных средах. В некоторых случаях это может произойти из-за отсрочки или нарушения работы и производства АСУ ТП в рамках усилий по исправлению положения. Операции могут быть остановлены и эффективно остановлены в целях сдерживания и надлежащего удаления вредоносных программ или из-за потери безопасности . | |
| T0837 | Loss of Protection | Adversaries may compromise protective system functions designed to prevent the effects of faults and abnormal conditions. This can result in equipment damage, prolonged process disruptions and hazards to personnel. Many faults and abnormal conditions in process control happen too quickly for a human operator to react to. Speed is critical in correcting these conditions to limit serious impacts such as Loss of Control and Property Damage. Adversaries may target and disable protective system functions as a prerequisite to subsequent attack execution or to allow for future faults and abnormal conditions to go unchecked. Detection of a Loss of Protection by operators can result in the shutdown of a process due to strict policies regarding protection systems. This can cause a Loss of Productivity and Revenue and may meet the technical goals of adversaries seeking to cause process disruptions. }}" |
| Потеря защиты | | |
| T0880 | Loss of Safety | Adversaries may compromise safety system functions designed to maintain safe operation of a process when unacceptable or dangerous conditions occur. Safety systems are often composed of the same elements as control systems but have the sole purpose of ensuring the process fails in a predetermined safe manner. Many unsafe conditions in process control happen too quickly for a human operator to react to. Speed is critical in correcting these conditions to limit serious impacts such as Loss of Control and Property Damage. Adversaries may target and disable safety system functions as a prerequisite to subsequent attack execution or to allow for future unsafe conditionals to go unchecked. Detection of a Loss of Safety by operators can result in the shutdown of a process due to strict policies regarding safety systems. This can cause a Loss of Productivity and Revenue and may meet the technical goals of adversaries seeking to cause process disruptions. |
| Потеря безопасности | Злоумышленники могут вызвать потерю безопасности намеренно или вследствие действий, предпринятых для выполнения операции. Потеря безопасности может представлять собой физическое воздействие и угрозу или возможность небезопасных условий и деятельности с точки зрения среды, устройств или процессов АСУ ТП. Например, злоумышленник может отдавать команды или влиять и, возможно, блокировать механизмы безопасности, что приведёт к травмам и возможной гибели людей. Сюда также могут входить сценарии, приводящие к отказу механизма безопасности или контроля, что может привести к опасным режиму работы и результатам физических процессов. | |
| T0829 | Loss of View | Adversaries may cause a sustained or permanent loss of view where the ICS equipment will require local, hands-on operator intervention; for instance, a restart or manual operation. By causing a sustained reporting or visibility loss, the adversary can effectively hide the present state of operations. This loss of view can occur without affecting the physical processes themselves. |
| Потеря видимости | Злоумышленники могут вызвать устойчивую или необратимую потерю видимости там, где оборудование АСУ ТП потребует местного вмешательства оператора; например, перезапуск или ручное управление. Вызывая постоянные отклики или потерю видимости, злоумышленник может эффективно скрыть текущее состояние операций. Эта потеря видимости может происходить без воздействия на сами физические процессы. | |
| T0830 | Man in the Middle | Adversaries with privileged network access may seek to modify network traffic in real time using man-in-the-middle (MITM) attacks. This type of attack allows the adversary to intercept traffic to and/or from a particular device on the network. If a MITM attack is established, then the adversary has the ability to block, log, modify, or inject traffic into the communication stream. There are several ways to accomplish this attack, but some of the most-common are Address Resolution Protocol (ARP) poisoning and the use of a proxy. |
| Человек посередине | Злоумышленники с привилегированным доступом к сети могут стремиться изменить сетевой трафик в реальном времени с помощью атак типа «человек посередине» (MITM). Атака этого типа позволяет злоумышленнику перехватывать трафик к определенному устройству в сети и/или от него. Если использована атака MITM, злоумышленник имеет возможность блокировать, регистрировать, изменять или вводить трафик в поток связи. Есть несколько способов выполнить эту атаку, но некоторые из наиболее распространенных - это ARP-spoofing и использование прокси-сервера. | |
| T0835 | Manipulate I/O Image | Adversaries may manipulate the I/O image of PLCs through various means to prevent them from functioning as expected. Methods of I/O image manipulation may include overriding the I/O table via direct memory manipulation or using the override function used for testing PLC programs. During the scan cycle, a PLC reads the status of all inputs and stores them in an image table. The image table is the PLCs internal storage location where values of inputs/outputs for one scan are stored while it executes the user program. After the PLC has solved the entire logic program, it updates the output image table. The contents of this output image table are written to the corresponding output points in I/O Modules. One of the unique characteristics of PLCs is their ability to override the status of a physical discrete input or to override the logic driving a physical output coil and force the output to a desired status. |
| Управление образом ввода/вывода | Злоумышленники могут манипулировать образом ввода-вывода ПЛК различными способами, чтобы помешать их функционированию должным образом. Методы манипулирования образами ввода/вывода могут включать в себя переопределение таблицы ввода/вывода посредством прямого управления памятью или использование функции переопределения, используемой для тестирования программ ПЛК. Во время цикла сканирования ПЛК состояние фактических физических входов копируется в часть памяти ПЛК, обычно называемую таблицей входных образов. Когда программа сканируется, она проверяет таблицу входных изображений, чтобы прочитать состояние физического входа. Когда логика определяет состояние физического выхода, она записывает в часть памяти ПЛК, обычно называемую таблицей выходных образов. Выходной образ также можно исследовать во время сканирования программы. Для обновления физических выходов содержимое таблицы копируется на физические выходы после сканирования программы. Одной из уникальных характеристик ПЛК является их способность отменять состояние физического дискретного входа или отменять логику, управляющую физической выходной катушкой, и переводить выход в желаемое состояние. | |
| |