常見十大工控協定與攻擊手法
常見十大工控協定與攻擊手法 Modbus 協定十大攻擊手法 1. 設備枚舉 (Device Enumeration) 攻擊手法: 透過系統性地發送讀取指令並遍歷所有可能的 Slave ID (0-247),攻擊者可以掃描並繪製出整個 Modbus 網路的拓撲,識別所有在線的從站設備及其支援的資料區,為後續攻擊提供精確目標。 參考來源: CISA (Cybersecurity and Infrastructure Security Agency) - Control Systems Network Auditing: https://www.cisa.gov/sites/default/files/recommended_practices/RP_Control_Systems_Network_Auditing_S508C.pdf SANS Institute - ICS410: ICS/SCADA Security Essentials: https://www.sans.org/cyber-security-courses/ics-scada-cyber-security-essentials/ Nmap Scripting Engine - modbus-discover.nse: https://nmap.org/nsedoc/scripts/modbus-discover.html 2. 未授權讀取 (Unauthorized Read) 攻擊手法: 由於 Modbus 協定本身缺乏認證機制,任何能連上網路的攻擊者都可以發送合法的讀取功能碼 (如 0x01, 0x02, 0x03, 0x04),自由讀取設備的線圈和暫存器狀態,從而竊取關鍵的生產參數、設備組態或製程配方。 參考來源: Modbus-IDA - Modbus Application Protocol Specification V1.1b3: https://modbus.org/docs/Modbus_Application_Protocol_V1_1b3.pdf Fortinet - What Is the Modbus Protocol?: https://www.fortinet.com/resources/cyberglossary/modbus-protocol MITRE ATT&CK for ICS - T0859 Read Input/Output Image: https://collaborate.mitre.org/attackics/index.php/Technique/T0859 3. 惡意指令注入 (Command Injection) ...