針對工控攻擊面有以下這些:
工控蠕蟲:工控蠕蟲攻擊是一種不依賴于計算機,只通過像西門子這樣的PLC設備進行攻擊和傳播的工控蠕蟲病毒,可以繞過當前的網絡安全防御系統。首先,攻擊者通過攻擊目標PLC設備,向目標PLC設備中寫入該蠕蟲病毒,然后通過西門子通信端口102嘗試建立連接,如果連接建立成功,則檢查目標PLC是否已被感染。如連接未建立成功,或目標PLC已被感染,則選擇新IP重新嘗試建立連接。如目標PLC未被感染,則停止目標PLC,下裝病毒程序,最后重新啟動目標PLC。
工控邏輯炸彈:該惡意軟件將攻擊代碼者注入到目標PLC上的現有控制邏輯中,改變控制動作或者等待特定的觸發信號來激活惡意行為。攻擊者可以通過LLB篡改合法的傳感器讀數等一系列惡意操作。
工控勒索病毒:這種勒索病毒一般指針對工控系統,但是和普通勒索病毒一樣,都具備普通勒索病毒的所有特性和特點,并且這種病毒對工控系統危害巨大。
工控Payload分發:工控payload分發是一種將payload注入到工控設備中,然后通過使目標機訪問來執行攻擊腳本的方式。攻擊者從互聯網上尋找一個具有足夠的空間來存儲payload的PLC,將payload上傳到PLC的內存。 攻擊者用dropper感染一個主機,然后利用stager與Modbus進行“交流”,從PLC中下載并執行該stage。
回答所涉及的環境:聯想天逸510S、Windows 10。
針對工控攻擊面有以下這些:
工控蠕蟲:工控蠕蟲攻擊是一種不依賴于計算機,只通過像西門子這樣的PLC設備進行攻擊和傳播的工控蠕蟲病毒,可以繞過當前的網絡安全防御系統。首先,攻擊者通過攻擊目標PLC設備,向目標PLC設備中寫入該蠕蟲病毒,然后通過西門子通信端口102嘗試建立連接,如果連接建立成功,則檢查目標PLC是否已被感染。如連接未建立成功,或目標PLC已被感染,則選擇新IP重新嘗試建立連接。如目標PLC未被感染,則停止目標PLC,下裝病毒程序,最后重新啟動目標PLC。
工控邏輯炸彈:該惡意軟件將攻擊代碼者注入到目標PLC上的現有控制邏輯中,改變控制動作或者等待特定的觸發信號來激活惡意行為。攻擊者可以通過LLB篡改合法的傳感器讀數等一系列惡意操作。
工控勒索病毒:這種勒索病毒一般指針對工控系統,但是和普通勒索病毒一樣,都具備普通勒索病毒的所有特性和特點,并且這種病毒對工控系統危害巨大。
工控Payload分發:工控payload分發是一種將payload注入到工控設備中,然后通過使目標機訪問來執行攻擊腳本的方式。攻擊者從互聯網上尋找一個具有足夠的空間來存儲payload的PLC,將payload上傳到PLC的內存。 攻擊者用dropper感染一個主機,然后利用stager與Modbus進行“交流”,從PLC中下載并執行該stage。
回答所涉及的環境:聯想天逸510S、Windows 10。