Перевод техник Mitre. Техники Mitre. Id name Description
 Скачать 80.51 Kb.
|
|
T0842 | Network Sniffing | Network sniffing is the practice of using a network interface on a computer system to monitor or capture information regardless of whether it is the specified destination for the information. An adversary may attempt to sniff the traffic to gain information about the target. This information can vary in the level of importance. Relatively unimportant information is general communications to and from machines. Relatively important information would be login information. User credentials may be sent over an unencrypted protocol, such as [https://tools.ietf.org/html/rfc854 Telnet], that can be captured and obtained through network packet analysis. In addition, ARP and Domain Name Service (DNS) poisoning can be used to capture credentials to websites, proxies, and internal systems by redirecting traffic to an adversary. |
| Прослушивание сети | Прослушивание сети - это практика использования сетевого интерфейса в компьютерной системе для отслеживания или захвата информации, независимо от того, является ли он указанным местом назначения для информации. Злоумышленник может попытаться перехватить трафик, чтобы получить информацию о цели. Эта информация может различаться по степени важности. Относительно неважная информация - это общие коммуникации с машинами и с них. Относительно важной информацией будет информация для входа в систему. Учетные данные пользователя могут быть отправлены по незашифрованному протоколу, например Telnet , который может быть захвачен и получен с помощью анализа сетевых пакетов. Прослушивание сети может быть способом обнаружения информации для идентификации управляющего устройства . | |
| T0861 | Point & Tag Identification | Adversaries may collect point and tag values to gain a more comprehensive understanding of the process environment. Points may be values such as inputs, memory locations, outputs or other process specific variables. Tags are the identifiers given to points for operator convenience. Collecting such tags provides valuable context to environmental points and enables an adversary to map inputs, outputs, and other values to their control processes. Understanding the points being collected may inform an adversary on which processes and values to keep track of over the course of an operation. |
| Идентификация указателей и меток | Злоумышленники могут собирать значения указателей и меток, чтобы получить более полное представление о процессе. Указатели могут быть значениями, такими как входы, ячейки памяти, выходы или другие переменные, специфичные для процесса. Теги - это идентификаторы, присваиваемые указателями для удобства оператора. Сбор таких тегов обеспечивает ценный контекст для указателей среды и позволяет противнику сопоставлять входные, выходные и другие значения со своими процессами управления. Понимание собираемых указателей может сообщить злоумышленнику, какие процессы и значения следует отслеживать в ходе операции. | |
| T0843 | Program Download | Adversaries may perform a program download to transfer a user program to a controller. Variations of program download, such as online edit and program append, allow a controller to continue running during the transfer and reconfiguration process without interruption to process control. However, before starting a full program download (i.e., download all) a controller may need to go into a stop state. This can have negative consequences on the physical process, especially if the controller is not able to fulfill a time-sensitive action. Adversaries may choose to avoid a download all in favor of an online edit or program append to avoid disrupting the physical process. An adversary may need to use the technique Detect Operating Mode or Change Operating Mode to make sure the controller is in the proper mode to accept a program download. The granularity of control to transfer a user program in whole or parts is dictated by the management protocol (e.g., S7CommPlus, TriStation) and underlying controller API. Thus, program download is a high-level term for the suite of vendor-specific API calls used to configure a controllers user program memory space. Modify Controller Tasking and Modify Program represent the configuration changes that are transferred to a controller via a program download. |
| Скачивание программы | Злоумышленники могут выполнить скачивание программы для загрузки вредоносной или ошибочной программной логики на устройство в качестве метода закрепления или нарушения функций опроса или управления процессом. Загрузка программы на устройство, такое как ПЛК, позволяет злоумышленникам реализовать собственную логику. Вредоносные программы ПЛК могут использоваться для нарушения физических процессов или обеспечения закрепления злоумышленника. Загрузка программы приведет к тому, что ПЛК перейдет в рабочее состояние STOP, что может помешать правильной работе опросных функций. | |
| T0845 | Program Upload | Adversaries may attempt to upload a program from a PLC to gather information about an industrial process. Uploading a program may allow them to acquire and study the underlying logic. Methods of program upload include vendor software, which enables the user to upload and read a program running on a PLC. This software can be used to upload the target program to a workstation, jump box, or an interfacing device. |
| Загрузка программы | Злоумышленники могут попытаться загрузить программу из ПЛК для сбора информации о производственном процессе. Загрузка программы может позволить им усвоить и изучить основную логику. Методы загрузки программ включают программное обеспечение поставщика, которое позволяет пользователю загружать и читать программу, работающую на ПЛК. Это программное обеспечение можно использовать для загрузки целевой программы на рабочую станцию, переходник или устройство сопряжения. | |
| T0873 | Project File Infection | Adversaries may attempt to infect project files with malicious code. These project files may consist of objects, program organization units, variables such as tags, documentation, and other configurations needed for PLC programs to function. Using built in functions of the engineering software, adversaries may be able to download an infected program to a PLC in the operating environment enabling further [[execution]] and [[persistence]] techniques. Adversaries may export their own code into project files with conditions to execute at specific intervals. Malicious programs allow adversaries control of all aspects of the process enabled by the PLC. Once the project file is downloaded to a PLC the workstation device may be disconnected with the infected project file still executing. |
| Заражение файла проекта | Злоумышленники могут попытаться заразить файлы проекта вредоносным кодом. Эти файлы проекта могут состоять из объектов, программных компонентов, переменных (теги), документации и других настроек, необходимых для работы программ ПЛК. Используя встроенные функции инженерного программного обеспечения, злоумышленники могут загружать зараженную программу в ПЛК в операционной среде, обеспечивая дальнейшее выполнение и закрепление. Злоумышленники могут экспортировать свой собственный код в файлы проекта с условиями выполнения через определенные промежутки времени. Вредоносные программы позволяют злоумышленникам контролировать все аспекты процесса, управляемого ПЛК. После загрузки файла проекта в ПЛК рабочая станция может быть отключена, а зараженный файл проекта продолжать выпонление. | |
| T0886 | Remote Services | Adversaries may leverage remote services to move between assets and network segments. These services are often used to allow operators to interact with systems remotely within the network, some examples are RDP, SMB, SSH, and other similar mechanisms. Remote services could be used to support remote access, data transmission, authentication, name resolution, and other remote functions. Further, remote services may be necessary to allow operators and administrators to configure systems within the network from their engineering or management workstations. An adversary may use this technique to access devices which may be dual-homed to multiple network segments, and can be used for Program Download or to execute attacks on control devices directly through Valid Accounts. Specific remote services (RDP & VNC) may be a precursor to enable Graphical User Interface execution on devices such as HMIs or engineering workstation software. In the Oldsmar water treatment attack, adversaries gained access to the system through remote access software, allowing for the use of the standard operator HMI interface. Based on incident data, CISA and FBI assessed that Chinese state-sponsored actors also compromised various authorized remote access channels, including systems designed to transfer data and/or allow access between corporate and ICS networks. |
| Службы удаленного доступа | | |
| T0846 | Remote System Discovery | Adversaries may attempt to get a listing of other systems by IP address, hostname, or other logical identifier on a network that may be used for subsequent Lateral Movement or Discovery techniques. Functionality could exist within adversary tools to enable this, but utilities available on the operating system or vendor software could also be used. |
| Удаленное обнаружение системы | Удаленное обнаружение системы - это процесс определения присутствия хостов в сети и получения сведений о них. Этот процесс является обычным для сетевых администраторов, проверяющих наличие машин и служб, а также для злоумышленников, составляющих карту сети для целей будущих атак. Злоумышленник может попытаться получить информацию о целевой сети с помощью методов сетевого сканирования, таких как сканирование портов. Одним из самых популярных инструментов для сканирования является Nmap. Удаленное обнаружение системы позволяет злоумышленникам отображать узлы в сети, а также порты, которые открыты, закрыты или отфильтрованы. Инструменты удаленного обнаружения системы также помогают, пытаясь подключиться к службе, определить ее точную версию. Злоумышленник может использовать эту информацию, чтобы выбрать эксплойт для конкретной версии, если существует известная уязвимость. | |
| T0888 | Remote System Information Discovery | An adversary may attempt to get detailed information about remote systems and their peripherals, such as make/model, role, and configuration. Adversaries may use information from Remote System Information Discovery to aid in targeting and shaping follow-on behaviors. For example, the systems operational role and model information can dictate whether it is a relevant target for the adversarys operational objectives. In addition, the systems configuration may be used to scope subsequent technique usage. Requests for system information are typically implemented using automation and management protocols and are often automatically requested by vendor software during normal operation. This information may be used to tailor management actions, such as program download and system or module firmware. An adversary may leverage this same information by issuing calls directly to the systems API. |
| Исследование информации удаленных систем | | |
| T0847 | Replication Through Removable Media | Adversaries may move onto systems, such as those separated from the enterprise network, by copying malware to removable media which is inserted into the control systems environment. The adversary may rely on unknowing trusted third parties, such as suppliers or contractors with access privileges, to introduce the removable media. This technique enables initial access to target devices that never connect to untrusted networks, but are physically accessible. Operators of the German nuclear power plant, Gundremmingen, discovered malware on a facility computer not connected to the internet. The malware included Conficker and W32.Ramnit, which were also found on eighteen removable disk drives in the facility. The plant has since checked for infection and cleaned up more than 1,000 computers. An ESET researcher commented that internet disconnection does not guarantee system safety from infection or payload execution. |
| Распространение с помощью съемных медиа-устройств | Злоумышленники могут попадать в системы, такие как те, которые отделены от корпоративной сети, путем копирования вредоносных программ на съемные носители, которые используется в среде АСУ ТП. Злоумышленник может полагаться на неизвестные доверенные третьи стороны, такие как поставщики или подрядчики с привилегиями доступа, чтобы внедрить съемный носитель. Этот метод обеспечивает начальный доступ к целевым устройствам, которые никогда не подключаются к ненадежным сетям, но физически доступны. | |
| T0848 | Rogue Master | Adversaries may setup a rogue master to leverage control server functions to communicate with outstations. A rogue master can be used to send legitimate control messages to other control system devices, affecting processes in unintended ways. It may also be used to disrupt network communications by capturing and receiving the network traffic meant for the actual master. Impersonating a master may also allow an adversary to avoid detection. In the Maroochy Attack, Vitek Boden falsified network addresses in order to send false data and instructions to pumping stations. In the case of the 2017 Dallas Siren incident, adversaries used a rogue master to send command messages to the 156 distributed sirens across the city, either through a single rogue transmitter with a strong signal, or using many distributed repeaters. |
| Поддельное ведущее устройство | Злоумышленники могут настроить ведущее устройство для использования функций сервера управления для связи с ведомыми устройствами. Поддельное ведущее устройство может использоваться для отправки легитимных управляющих сообщений другим устройствам АСУ ТП, влияя на процессы незапланированным образом. Его также можно использовать для нарушения сетевой связи путем перехвата и приема сетевого трафика, предназначенного для реального ведущего устройства. Выдача себя за ведущее устройство также может позволить злоумышленнику избежать обнаружения. | |
| T0851 | Rootkit | Adversaries may deploy rootkits to hide the presence of programs, files, network connections, services, drivers, and other system components. Rootkits are programs that hide the existence of malware by intercepting and modifying operating-system API calls that supply system information. Rootkits or rootkit-enabling functionality may reside at the user or kernel level in the operating system, or lower. |
| Руткит | Злоумышленники могут использовать руткиты, чтобы скрыть присутствие программ, файлов, сетевых подключений, служб, драйверов и других компонентов системы. Руткиты - это программы, которые скрывают существование вредоносных программ, перехватывая и изменяя вызовы приложений операционной системы, которые предоставляют системную информацию. Руткиты или функции включения руткитов могут находиться на уровне пользователя, ядра в операционной системе или ниже. Руткиты микропрограмм, влияющие на операционную систему, дают почти полный контроль над системой. Хотя руткиты микропрограмм обычно разрабатываются для основной процессорной платы, они также могут быть разработаны для интерфейса ввода-вывода, который может быть прикреплен к устройству. Компрометация этой прошивки позволяет изменять все переменные процесса и функции, в которых задействован модуль. Это может привести к игнорированию команд и передаче ложной информации на основное устройство. Вмешиваясь в процессы устройства, злоумышленник может заблокировать его функции ожидаемого ответа и, возможно, начать воздействие. | |
| |