Перевод техник Mitre. Техники Mitre. Id name Description
Скачать 80.51 Kb.
|
T0852 | Screen Capture | Adversaries may attempt to perform screen capture of devices in the control system environment. Screenshots may be taken of workstations, HMIs, or other devices that display environment-relevant process, device, reporting, alarm, or related data. These device displays may reveal information regarding the ICS process, layout, control, and related schematics. In particular, an HMI can provide a lot of important industrial process information. Analysis of screen captures may provide the adversary with an understanding of intended operations and interactions between critical devices. |
Скриншот | Злоумышленники могут попытаться сделать снимок экрана устройств в среде АСУ ТП. Можно делать снимки экрана рабочих станций, человеко-машинного интерфейса или других устройств, отображающих относящиеся к среде процессы, устройства, отчеты, сигналы тревоги или связанные данные. Эти дисплеи устройств могут отображать информацию о процессе АСУ ТП, компоновке, управлении и связанных схемах. В частности, человеко-машинный интерфейс может предоставить много важной информации о производственных процессах. Анализ снимков экрана может дать злоумышленнику представление о предполагаемых операциях и взаимодействиях между критически важными устройствами. | |
T0853 | Scripting | Adversaries may use scripting languages to execute arbitrary code in the form of a pre-written script or in the form of user-supplied code to an interpreter. Scripting languages are programming languages that differ from compiled languages, in that scripting languages use an interpreter, instead of a compiler. These interpreters read and compile part of the source code just before it is executed, as opposed to compilers, which compile each and every line of code to an executable file. Scripting allows software developers to run their code on any system where the interpreter exists. This way, they can distribute one package, instead of precompiling executables for many different systems. Scripting languages, such as Python, have their interpreters shipped as a default with many Linux distributions. In addition to being a useful tool for developers and administrators, scripting language interpreters may be abused by the adversary to execute code in the target environment. Due to the nature of scripting languages, this allows for weaponized code to be deployed to a target easily, and leaves open the possibility of on-the-fly scripting to perform a task. |
Сценарии | Злоумышленники могут использовать языки сценариев для выполнения произвольного кода в форме заранее написанного сценария или в форме кода, предоставленного пользователем для интерпретатора. Языки сценариев - это языки программирования, которые отличаются от компилируемых языков, в которых языки сценариев используют интерпретатор, а не компилятор. Эти интерпретаторы читают и компилируют часть исходного кода непосредственно перед его выполнением, в отличие от компиляторов, которые компилируют каждую строку кода в исполняемый файл. Сценарии позволяют разработчикам программного обеспечения запускать свой код в любой системе, где существует интерпретатор. Таким образом, они могут распространять один пакет вместо предварительной компиляции исполняемых файлов для множества разных систем. Языки сценариев, такие как Python, имеют свои интерпретаторы по умолчанию во многих дистрибутивах Linux. Помимо того, что они являются полезным инструментом для разработчиков и администраторов, злоумышленники могут вопспользоваться интерпретаторами языка сценариев для выполнения кода в целевой среде. Из-за природы языков сценариев это позволяет легко развернуть вредоносный код код на цели, и оставляет открытой возможность создания сценариев на лету для выполнения задачи. | |
T0881 | Service Stop | Adversaries may stop or disable services on a system to render those services unavailable to legitimate users. Stopping critical services can inhibit or stop response to an incident or aid in the adversary's overall objectives to cause damage to the environment. Services may not allow for modification of their data stores while running. Adversaries may stop services in order to conduct Data Destruction. |
Остановка службы | Злоумышленники могут остановить или отключить службы в системе, чтобы сделать эти службы недоступными для пользователей. Остановка критически важных служб может помешать или остановить реакцию на инцидент, или помочь злоумышленнику в достижении общих целей по нанесению ущерба технологической среде. Службы могут не допускать изменения своих хранилищ данных во время работы. Злоумышленники могут остановить службы для уничтожения данных. | |
T0865 | Spearphishing Attachment | Adversaries may use a spearphishing attachment, a variant of spearphishing, as a form of a social engineering attack against specific targets. Spearphishing attachments are different from other forms of spearphishing in that they employ malware attached to an email. All forms of spearphishing are electronically delivered and target a specific individual, company, or industry. In this scenario, adversaries attach a file to the spearphishing email and usually rely upon User Execution to gain execution and access. A Chinese spearphishing campaign running from December 9, 2011 through February 29, 2012, targeted ONG organizations and their employees. The emails were constructed with a high level of sophistication to convince employees to open the malicious file attachments. |
Целевые фишинговые вложения | Злоумышленники могут использовать целевые фишинговые вложения, вариант целевого фишинга, как форму атаки социальной инженерии против конкретных целей. Вложения отличаются от других форм целевого фишинга тем, что они используют вредоносное ПО, прикрепленное к электронному письму. Все формы целевого фишинга доставляются в электронном виде и нацелены на конкретного человека, компанию или отрасль. В этом сценарии злоумышленники прикрепляют файл к электронному письму с целевым фишингом и обычно полагаются на запуск пользователем, чтобы получить доступ. | |
T0856 | Spoof Reporting Message | Adversaries may spoof reporting messages in control system environments for evasion and to impair process control. In control systems, reporting messages contain telemetry data (e.g., I/O values) pertaining to the current state of equipment and the industrial process. Reporting messages are important for monitoring the normal operation of a system or identifying important events such as deviations from expected values. If an adversary has the ability to Spoof Reporting Messages, they can impact the control system in many ways. The adversary can Spoof Reporting Messages that state that the process is operating normally, as a form of evasion. The adversary could also Spoof Reporting Messages to make the defenders and operators think that other errors are occurring in order to distract them from the actual source of a problem. In the Maroochy Attack, the adversary used a dedicated analog two-way radio system to send false data and instructions to pumping stations and the central computer. |
Подделка сообщений-отчетов | Злоумышленники могут подделать сообщения-отчеты в средах системы управления для уклонения и нарушения управления процессом. В АСУ ТП сообщения-отчеты я содержат данные телеметрии (например, значения входов/выходов), относящиеся к текущему состоянию оборудования и производственному процессу. Сообщения-отчеты важны для мониторинга нормальной работы системы или выявления важных событий, таких как отклонения от ожидаемых значений. Если злоумышленник имеет возможность подделывать сообщения-отчеты, он может повлиять на систему управления разными способами. Злоумышленник может подделать сообщения-отчеты, в которых говорится, что процесс работает нормально, в качестве метода уклонения. Злоумышленник также может подделывать сообщения-отчеты, чтобы сотрудники безопасности и операторы думали, что происходят другие ошибки, чтобы отвлечь их от фактического источника проблемы. | |
T0869 | Standard Application Layer Protocol | Adversaries may establish command and control capabilities over commonly used application layer protocols such as HTTP(S), OPC, RDP, telnet, DNP3, and modbus. These protocols may be used to disguise adversary actions as benign network traffic. Standard protocols may be seen on their associated port or in some cases over a non-standard port. Adversaries may use these protocols to reach out of the network for command and control, or in some cases to other infected devices within the network. |
Стандартный протокол прикладного уровня | Злоумышленники могут устанавливать возможности управления и контроля через обычно используемые протоколы уровня приложений, такие как HTTP(S), OPC, RDP, telnet, DNP3 и modbus. Эти протоколы могут использоваться для маскировки действий злоумышленников под неопасный сетевой трафик. Стандартные протоколы можно увидеть на связанном с ними порте или, в некоторых случаях, через нестандартный порт. Злоумышленники могут использовать эти протоколы для получения доступа к технологической сети или, в некоторых случаях, к другим зараженным устройствам в сети. | |
T0862 | Supply Chain Compromise | Adversaries may perform supply chain compromise to gain control systems environment access by means of infected products, software, and workflows. Supply chain compromise is the manipulation of products, such as devices or software, or their delivery mechanisms before receipt by the end consumer. Adversary compromise of these products and mechanisms is done for the goal of data or system compromise, once infected products are introduced to the target environment. Supply chain compromise can occur at all stages of the supply chain, from manipulation of development tools and environments to manipulation of developed products and tools distribution mechanisms. This may involve the compromise and replacement of legitimate software and patches, such as on third party or vendor websites. Targeting of supply chain compromise can be done in attempts to infiltrate the environments of a specific audience. In control systems environments with assets in both the IT and OT networks, it is possible a supply chain compromise affecting the IT environment could enable further access to the OT environment. Counterfeit devices may be introduced to the global supply chain posing safety and cyber risks to asset owners and operators. These devices may not meet the safety, engineering and manufacturing requirements of regulatory bodies but may feature tagging indicating conformance with industry standards. Due to the lack of adherence to standards and overall lesser quality, the counterfeit products may pose a serious safety and operational risk. Yokogawa identified instances in which their customers received counterfeit differential pressure transmitters using the Yokogawa logo. The counterfeit transmitters were nearly indistinguishable with a semblance of functionality and interface that mimics the genuine product. F-Secure Labs analyzed the approach the adversary used to compromise victim systems with Havex. The adversary planted trojanized software installers available on legitimate ICS/SCADA vendor websites. After being downloaded, this software infected the host computer with a Remote Access Trojan (RAT). |
Компрометация цепочки поставки | Злоумышленники могут компрометировать цепочку поставок, чтобы получить доступ к среде АСУ ТП с помощью зараженных продуктов, программного обеспечения и рабочих процессов. Компрометация в цепочке поставок - это манипулирование продуктами, такими как устройства или программное обеспечение, или механизмами их доставки до их потребителя. Взлом этих продуктов и механизмов злоумышленником осуществляется с целью компрометации данных или системы после того, как зараженные продукты попадают в целевую среду. Компрометация цепочки поставок может происходить на всех этапах цепочки поставок, от манипулирования инструментами и средами разработки до манипулирования разработанными продуктами и механизмами распространения инструментов. Это может включать компрометацию и замену доверенного программного обеспечения и обновлений, например, на сайтах третьих сторон или поставщиков. Выбор компрометации в цепочке поставок может быть сделан для проникновения в определёный сегмент или отрасль. В средах АСУ ТП с активами как в ИТ-сетях, так и в сетях технологических, возможна компрометация в цепочке поставок, влияющая на среду ИТ, что может обеспечить дальнейший доступ к среде АСУ ТП. | |
T0857 | System Firmware | System firmware on modern assets is often designed with an update feature. Older device firmware may be factory installed and require special reprograming equipment. When available, the firmware update feature enables vendors to remotely patch bugs and perform upgrades. Device firmware updates are often delegated to the user and may be done using a software update package. It may also be possible to perform this task over the network. An adversary may exploit the firmware update feature on accessible devices to upload malicious or out-of-date firmware. Malicious modification of device firmware may provide an adversary with root access to a device, given firmware is one of the lowest programming abstraction layers. |
Прошивка системы | Системное микропрограммное обеспечение на современных устройствах часто имеет функцию обновления. Прошивка более старых версий устройства может быть установлена на заводе и требует специального оборудования для перепрограммирования. Когда возможно, функция обновления прошивки позволяет поставщикам удаленно исправлять ошибки и выполнять обновления. Обновления прошивки устройства часто предоставляются пользователю и могут выполняться с помощью пакета обновления программного обеспечения. Эту задачу также можно выполнить по сети. Злоумышленник может использовать функцию обновления прошивки на доступных устройствах для загрузки вредоносной или устаревшей прошивки. Вредоносная модификация микропрограммы устройства может предоставить злоумышленнику привилегированный доступ к устройству, поскольку микропрограмма является одним из самых низких уровней абстракции программирования. | |
T0882 | Theft of Operational Information | Adversaries may steal operational information on a production environment as a direct mission outcome for personal gain or to inform future operations. This information may include design documents, schedules, rotational data, or similar artifacts that provide insight on operations. In the Bowman Dam incident, adversaries probed systems for operational data. |
Кража оперативной информации | Злоумышленники могут украсть оперативную информацию о технологической среде в качестве прямого результата миссии для личной выгоды или для планирования будущих операций. Эта информация может включать проектную документацию, расписания, данные о ротации или аналогичные данные, которые дают представление об операциях. | |
T0864 | Transient Cyber Asset | Adversaries may target devices that are transient across ICS networks and external networks. Normally, transient assets are brought into an environment by authorized personnel and do not remain in that environment on a permanent basis. Transient assets are commonly needed to support management functions and may be more common in systems where a remotely managed asset is not feasible, external connections for remote access do not exist, or 3rd party contractor/vendor access is required. Adversaries may take advantage of transient assets in different ways. For instance, adversaries may target a transient asset when it is connected to an external network and then leverage its trusted access in another environment to launch an attack. They may also take advantage of installed applications and libraries that are used by legitimate end-users to interact with control system devices. Transient assets, in some cases, may not be deployed with a secure configuration leading to weaknesses that could allow an adversary to propagate malicious executable code, e.g., the transient asset may be infected by malware and when connected to an ICS environment the malware propagates onto other systems. In the Maroochy attack, the adversary utilized a computer, possibly stolen, with proprietary engineering software to communicate with a wastewater system. |
| | |
|