T0855
Unauthorized Command Message
|
Adversaries may send unauthorized command messages to instruct control system assets to perform actions outside of their intended functionality, or without the logical preconditions to trigger their expected function. Command messages are used in ICS networks to give direct instructions to control systems devices. If an adversary can send an unauthorized command message to a control system, then it can instruct the control systems device to perform an action outside the normal bounds of the device's actions. An adversary could potentially instruct a control systems device to perform an action that will cause an Impact.
|
Неавторизованное командное сообщение
|
Злоумышленники могут отправлять неавторизованные командные сообщения, чтобы принуждать устройства АСУ ТП выполнять действия, выходящие за рамки их ожидаемых функциональных возможностей для управления процессом. Командные сообщения используются в сетях АСУ ТП для передачи прямых инструкций устройствам. Если злоумышленник может отправить неавторизованное командное сообщение в АСУ ТП, то он может дать указание устройству выполнить действие, выходящее за обычные границы действий устройства. Злоумышленник потенциально может дать указание устройству системы управления выполнить действие, которое вызовет Нанесение ущерба
|
T0863
|
User Execution
|
Adversaries may rely on a targeted organizations user interaction for the execution of malicious code. User interaction may consist of installing applications, opening email attachments, or granting higher permissions to documents. Adversaries may embed malicious code or visual basic code into files such as Microsoft Word and Excel documents or software installers. Execution of this code requires that the user enable scripting or write access within the document. Embedded code may not always be noticeable to the user especially in cases of trojanized software. A Chinese spearphishing campaign running from December 9, 2011 through February 29, 2012 delivered malware through spearphishing attachments which required user action to achieve execution.
|
Запуск пользователем
|
Злоумышленники могут полагаться на взаимодействие с пользователем целевой организации для выполнения вредоносного кода. Взаимодействие с пользователем может заключаться в установке приложений, открытии вложений электронной почты или предоставлении более высоких уровней доступа для документов. Злоумышленники могут встраивать вредоносный код в такие файлы, как документы Microsoft Word и Excel или установщики программного обеспечения. Выполнение этого кода требует, чтобы пользователь разрешил сценарии или доступ для записи в документе. Встроенный код не всегда может быть заметен для пользователя, особенно в случае троянского программного обеспечения.
|
T0859
|
Valid Accounts
|
Adversaries may steal the credentials of a specific user or service account using credential access techniques. In some cases, default credentials for control system devices may be publicly available. Compromised credentials may be used to bypass access controls placed on various resources on hosts and within the network, and may even be used for persistent access to remote systems. Compromised and default credentials may also grant an adversary increased privilege to specific systems and devices or access to restricted areas of the network. Adversaries may choose not to use malware or tools, in conjunction with the legitimate access those credentials provide, to make it harder to detect their presence or to control devices and send legitimate commands in an unintended way.
|
Действующие учетные записи
|
Злоумышленники могут украсть учетные данные определенного пользователя или учетной записи службы, используя методы доступа к учетным данным. В некоторых случаях учетные данные по умолчанию для устройств АСУ ТП могут быть общедоступными. Скомпрометированные учетные данные могут использоваться для обхода средств управления доступом, размещенных на различных ресурсах на хостах и в сети, и даже могут использоваться для постоянного доступа к удаленным системам. Взломанные учетные данные и учетные данные по умолчанию также могут предоставить злоумышленнику повышенные привилегии для определенных систем и устройств или доступ к ограниченным областям сети. Злоумышленники могут отказаться от использования вредоносных программ или инструментов благодаря подобному легитимному доступу, предоставляемому этими учетными данными, чтобы затруднить обнаружение их присутствия или контроля устройств и отправки команд.
Злоумышленники также могут создавать учетные записи, используя заранее заданные имена учетных записей и пароли, чтобы предоставить средства резервного доступа для закрепления.
Перекрытие учетных данных и разрешений в сети систем вызывает беспокойство, потому что злоумышленник может иметь возможность переключаться между учетными записями и системами для достижения высокого уровня доступа (например, администратора домена или предприятия) и, возможно, между корпоративной и технологической средой. Злоумышленники могут использовать действительные учетные данные из одной системы, чтобы получить доступ к другой системе.
|
T0860
|
Wireless Compromise
|
Adversaries may perform wireless compromise as a method of gaining communications and unauthorized access to a wireless network. Access to a wireless network may be gained through the compromise of a wireless device. Adversaries may also utilize radios and other wireless communication devices on the same frequency as the wireless network. Wireless compromise can be done as an initial access vector from a remote distance. A joint case study on the Maroochy Shire Water Services event examined the attack from a cyber security perspective. The adversary disrupted Maroochy Shire's radio-controlled sewage system by driving around with stolen radio equipment and issuing commands with them. Boden used a two-way radio to communicate with and set the frequencies of Maroochy Shire's repeater stations. A Polish student used a modified TV remote controller to gain access to and control over the Lodz city tram system in Poland. The remote controller device allowed the student to interface with the trams network to modify track settings and override operator control. The adversary may have accomplished this by aligning the controller to the frequency and amplitude of IR control protocol signals. The controller then enabled initial access to the network, allowing the capture and replay of tram signals.
|
Компрометация беспроводного обмена данными
|
Злоумышленники могут взломать беспроводную сеть в качестве метода получения несанкционированного доступа к беспроводной сети. Доступ к беспроводной сети может быть получен путем взлома беспроводного устройства. Злоумышленники также могут использовать радио и другие устройства беспроводной связи на той же частоте, что и беспроводная сеть. Компрометация беспроводного обмена данными может быть реализована как начальный вектор атаки на расстоянии.
|
T0887
|
Wireless Sniffing
|
Adversaries may seek to capture radio frequency (RF) communication used for remote control and reporting in distributed environments. RF communication frequencies vary between 3 kHz to 300 GHz, although are commonly between 300 MHz to 6 GHz. The wavelength and frequency of the signal affect how the signal propagates through open air, obstacles (e.g. walls and trees) and the type of radio required to capture them. These characteristics are often standardized in the protocol and hardware and may have an effect on how the signal is captured. Some examples of wireless protocols that may be found in cyber-physical environments are: WirelessHART, Zigbee, WIA-FA, and 700 MHz Public Safety Spectrum. Adversaries may capture RF communications by using specialized hardware, such as software defined radio (SDR), handheld radio, or a computer with radio demodulator tuned to the communication frequency. Information transmitted over a wireless medium may be captured in-transit whether the sniffing device is the intended destination or not. This technique may be particularly useful to an adversary when the communications are not encrypted. In the 2017 Dallas Siren incident, it is suspected that adversaries likely captured wireless command message broadcasts on a 700 MHz frequency during a regular test of the system. These messages were later replayed to trigger the alarm systems.
|
Прослушивание беспроводного обмена данными
|
|
Скачать 80.51 Kb.