Перевод техник Mitre. Техники Mitre. Id name Description
 Скачать 80.51 Kb.
|
|
T0831 | Manipulation of Control | Adversaries may manipulate physical process control within the industrial environment. Methods of manipulating control can include changes to set point values, tags, or other parameters. Adversaries may manipulate control systems devices or possibly leverage their own, to communicate with and command physical control processes. The duration of manipulation may be temporary or longer sustained, depending on operator detection. |
| Манипулирование контролем | Злоумышленники могут манипулировать контролем физического процесса в технологической среде. Методы управления контролем могут включать в себя изменения значений заданных значений, тегов или других параметров. Злоумышленники могут манипулировать устройствами АСУ ТП или, возможно, использовать свои собственные устройства для связи с физическим процессом управления или верхнеуровневым процессом управления. Продолжительность манипуляции может быть временной или более продолжительной, в зависимости от обнаружения оператором. Методы манипулирования контролем включают: Человек посередине Поддельное командное сообщение Изменение уставок | |
| T0832 | Manipulation of View | Adversaries may attempt to manipulate the information reported back to operators or controllers. This manipulation may be short term or sustained. During this time the process itself could be in a much different state than what is reported. Operators may be fooled into doing something that is harmful to the system in a loss of view situation. With a manipulated view into the systems, operators may issue inappropriate control sequences that introduce faults or catastrophic failures into the system. Business analysis systems can also be provided with inaccurate data leading to bad management decisions. |
| Манипуляция видимостью | Злоумышленники могут пытаться манипулировать информацией, приходящей операторам или диспетчерам. Эта манипуляция может быть кратковременной или продолжительной. В течение этого времени сам процесс может находиться в состоянии, значительно отличном от того, о котором сообщается. Операторы могут сделать что-то опасное для системы в ситуации потери обзора, будучи обманутыми. Манипулируемые при помощи видимости, операторы могут выдавать несоответствующие управляющие последовательности, которые вносят в систему сбои или катастрофические отказы. В системы бизнес-анализа также могут поступать неточные данные, что приводит к принятию неверных управленческих решений. | |
| T0849 | Masquerading | Adversaries may use masquerading to disguise a malicious application or executable as another file, to avoid operator and engineer suspicion. Possible disguises of these masquerading files can include commonly found programs, expected vendor executables and configuration files, and other commonplace application and naming conventions. By impersonating expected and vendor-relevant files and applications, operators and engineers may not notice the presence of the underlying malicious content and possibly end up running those masquerading as legitimate functions. Applications and other files commonly found on Windows systems or in engineering workstations have been impersonated before. This can be as simple as renaming a file to effectively disguise it in the ICS environment. |
| Маскарад | Злоумышленники могут использовать маскировку, чтобы замаскировать вредоносное приложение или исполняемый файл под другой файл, чтобы избежать подозрений оператора и инженера. Возможное прикрытие этих файлов маскировки может включать в себя часто встречающиеся программы, ожидаемые исполняемые файлы и файлы конфигурации поставщика, а также другие стандартные приложения. Выдавая себя за ожидаемые и относящиеся к поставщику файлы и приложения, операторы и инженеры могут не замечать наличие лежащего в основе вредоносного содержимого и, возможно, в конечном итоге запустить замаскированный под разрешенные программы вредоносный код. | |
| T0838 | Modify Alarm Settings | Adversaries may modify alarm settings to prevent alerts that may inform operators of their presence or to prevent responses to dangerous and unintended scenarios. Reporting messages are a standard part of data acquisition in control systems. Reporting messages are used as a way to transmit system state information and acknowledgements that specific actions have occurred. These messages provide vital information for the management of a physical process, and keep operators, engineers, and administrators aware of the state of system devices and physical processes. If an adversary is able to change the reporting settings, certain events could be prevented from being reported. This type of modification can also prevent operators or devices from performing actions to keep the system in a safe state. If critical reporting messages cannot trigger these actions then a [[Impact]] could occur. In ICS environments, the adversary may have to use Alarm Suppression or contend with multiple alarms and/or alarm propagation to achieve a specific goal to evade detection or prevent intended responses from occurring. Methods of suppression often rely on modification of alarm settings, such as modifying in memory code to fixed values or tampering with assembly level instruction code. In the Maroochy Attack, the adversary disabled alarms at four pumping stations. This caused alarms to not be reported to the central computer. |
| Изменение настроек тревог | Злоумышленники могут изменять настройки сигналов тревоги, чтобы предотвратить оповещения, которые могут информировать операторов об их присутствии, или предотвратить реакцию на опасные и непредвиденные сценарии. Отчетные сообщения являются стандартной частью сбора данных в АСУ ТП. Сообщения с отчетами используются как способ передачи информации о состоянии системы и подтверждения того, что были предприняты определенные действия. Эти сообщения предоставляют важную информацию для управления физическим процессом и информируют операторов, инженеров и администраторов о состоянии системных устройств и физических процессов. Если злоумышленник может изменить настройки оповещений, можно запретить отправку отчетов об определенных событиях. Этот тип модификации также может помешать операторам или устройствам выполнять действия по поддержанию системы в безопасном состоянии. Если критические отчетные сообщения не могут вызвать эти действия, может быть нанесён ущерб. В средах АСУ ТП злоумышленнику, возможно, придется использовать Подавлениетревог или бороться с множественными аварийными сигналами и/или распространением аварийных сигналов для достижения определенной цели: уклонения от обнаружения или предотвращения предполагаемых ответов. Методы подавления часто основываются на изменении настроек сигнализации, например, на изменении кода памяти на фиксированные значения или подделке кода инструкций на уровне сборки. | |
| T0821 | Modify Controller Tasking | Adversaries may modify the tasking of a controller to allow for the execution of their own programs. This can allow an adversary to manipulate the execution flow and behavior of a controller. According to 61131-3, the association of a Task with a Program Organization Unit (POU) defines a task association. An adversary may modify these associations or create new ones to manipulate the execution flow of a controller. Modification of controller tasking can be accomplished using a Program Download in addition to other types of program modification such as online edit and program append. Tasks have properties, such as interval, frequency and priority to meet the requirements of program execution. Some controller vendors implement tasks with implicit, pre-defined properties whereas others allow for these properties to be formulated explicitly. An adversary may associate their program with tasks that have a higher priority or execute associated programs more frequently. For instance, to ensure cyclic execution of their program on a Siemens controller, an adversary may add their program to the task, Organization Block 1 (OB1). |
| Изменение задач контроллера | | |
| T0836 | Modify Parameter | Adversaries may modify parameters used to instruct industrial control system devices. These devices operate via programs that dictate how and when to perform actions based on such parameters. Such parameters can determine the extent to which an action is performed and may specify additional options. For example, a program on a control system device dictating motor processes may take a parameter defining the total number of seconds to run that motor. |
| Изменение параметра | Злоумышленники могут изменять параметры, используемые для упрваления устройствами АСУ ТП. Эти устройства работают через программы, которые диктуют, как и когда выполнять действия на основе таких параметров. Такие параметры могут определять степень выполнения действия и могут указывать дополнительные параметры. Например, программа на устройстве АСУ ТП, определяющая моторные процессы, может принимать параметр, определяющий общее количество секунд для запуска этого мотора. Злоумышленник потенциально может изменить эти параметры, чтобы получить результат, выходящий за рамки того, что предполагалось операторами. Изменяя критические параметры системы и процесса, злоумышленник может нанести удар по оборудованию и/или процессам управления. Измененные параметры могут быть превращены в опасные, недопустимые или неожиданные значения при типичных операциях. Например, указание того, что процесс выполняется больше или меньше времени, чем он должен, или указание в качестве параметра необычно высокого, низкого или недопустимого значения. | |
| T0889 | Modify Program | Adversaries may modify or add a program on a controller to affect how it interacts with the physical process, peripheral devices and other hosts on the network. Modification to controller programs can be accomplished using a Program Download in addition to other types of program modification such as online edit and program append. Program modification encompasses the addition and modification of instructions and logic contained in Program Organization Units (POU) and similar programming elements found on controllers. This can include, for example, adding new functions to a controller, modifying the logic in existing functions and making new calls from one function to another. Some programs may allow an adversary to interact directly with the native API of the controller to take advantage of obscure features or vulnerabilities. |
| Изменение программы | | |
| T0839 | Module Firmware | Adversaries may install malicious or vulnerable firmware onto modular hardware devices. Control system devices often contain modular hardware devices. These devices may have their own set of firmware that is separate from the firmware of the main control system equipment. |
| Прошивка модуля | Злоумышленники могут установить вредоносное или уязвимое микропрограммное обеспечение на модульные аппаратные устройства. Устройства АСУ ТП часто содержат подобные модули. Эти устройства могут иметь собственный набор микропрограмм, отличный от микропрограмм основного оборудования АСУ ТП. Этот метод аналогичен воздействию на системномое микропрограммное обеспечение, но применяется к другим компонентам системы, которые могут не иметь таких же возможностей или уровня проверки целостности. Несмотря на то, что это приводит к повторному монтированию устройства, вредоносная микропрограмма устройства может обеспечить постоянный доступ к оставшимся устройствам. Простая точка доступа для злоумышленника - это карта Ethernet, которая может иметь собственный ЦП, ОЗУ и операционную систему. Злоумышленник может атаковать и, вероятно, использовать компьютер на карте Ethernet. Использование компьютера с картой Ethernet может позволить злоумышленнику выполнить дополнительные атаки, такие как: Отложенная атака - противник может организовать атаку заранее и выбрать, когда начать ее, например, в особенно опасное время. Блокировка карты Ethernet - Вредоносная прошивка может быть запрограммирована так, чтобы приводить к сбою карты Ethernet, что требует возврата к заводским настройкам. «Случайная» атака или сбой - злоумышленник может загрузить вредоносную прошивку на несколько полевых устройств. Исполнение атаки и время ее возникновения генерируются генератором псевдослучайных чисел. Червь полевого устройства - злоумышленник может выбрать определение всех полевых устройств одной и той же модели с конечной целью выполнения компрометации всех устройств одновременно. Атака других карты на полевом устройстве - хотя это не самый важный модуль в полевом устройстве, карта Ethernet наиболее доступна для злоумышленников и вредоносных программ. Взлом карты Ethernet может обеспечить более прямой путь к компрометации других модулей, таких как модуль ЦП. | |
| T0801 | Monitor Process State | Adversaries may gather information about the physical process state. This information may be used to gain more information about the process itself or used as a trigger for malicious actions. The sources of process state information may vary such as, OPC tags, historian data, specific PLC block information, or network traffic. |
| Мониторинг состояния процесса | Злоумышленники могут собирать информацию о физическом состоянии процесса. Эта информация может использоваться для получения дополнительных данных о самом процессе или использоваться в качестве триггера для злонамеренных действий. Источники информации о состоянии процесса могут различаться, например, теги OPC, архивные данные, информация о конкретных блоках ПЛК или сетевой трафик. | |
| T0834 | Native API | Adversaries may directly interact with the native OS application programming interface (API) to access system functions. Native APIs provide a controlled means of calling low-level OS services within the kernel, such as those involving hardware/devices, memory, and processes. These native APIs are leveraged by the OS during system boot (when other system components are not yet initialized) as well as carrying out tasks and requests during routine operations. Functionality provided by native APIs are often also exposed to user-mode applications via interfaces and libraries. For example, functions such as memcpy and direct operations on memory registers can be used to modify user and system memory space. |
| Нативный API | | |
| T0840 | Network Connection Enumeration | Adversaries may perform network connection enumeration to discover information about device communication patterns. If an adversary can inspect the state of a network connection with tools, such as Netstat, in conjunction with System Firmware, then they can determine the role of certain devices on the network . The adversary can also use Network Sniffing to watch network traffic for details about the source, destination, protocol, and content. |
| Определение сетевых подключений | Злоумышленники могут выполнять определение сетевых подключений для обнаружения информации о паттернах связи устройства. Если злоумышленник может проверить состояние сетевого подключения с помощью таких инструментов, как netstat , в сочетании с изменением системной прошивки, он может определить роль определенных устройств в сети. Злоумышленник также может использовать Прослушивание сети, перехватывая траффик, для получения подробной информации об источнике, пункте назначения, протоколе и содержимом. | |
| |