ATT&CK
2020-11-27 17:52:15 4 举报AI智能生成
ATT&CK Enterprise中文版思维导图
作者其他创作
大纲/内容
<span style="font-size: inherit;">侦查</span><br>
主动扫描
扫描ip模块
漏洞扫描
收集受害者主机信息
硬件
软件
防火墙
客户端配置
收集受害者身份信息
证书
邮箱地址
员工姓名
收集受害者网络信息
域属性
DNS<br>
网络信任依赖项
网络拓扑结构
IP地址
网络安全设备
收集受害者组织信息
业务关系
详细物理位置
明确业务节奏
明确角色<br>
网络钓鱼信息
鱼叉式网络钓鱼服务
鱼叉式网络钓鱼附件
鱼叉式网络钓鱼链接
搜索封闭源
有威胁的英特尔供应商
购买技术数据信息
搜索开放的技术数据库
WHOIS<br>
DNS/Passive DNS
数字证书
CDNs<br>
扫描数据库
搜索开放的网站/域
社交媒体
搜索引擎
子主题
搜索受害人拥有的网站
资源拓展<br>
获取基础设施
域
DNS服务器
虚拟专用服务器VPS
服务器
僵尸网络
web服务
损害帐户
社交媒体帐户
Email帐号
损害基础设施
域
DNS服务器
虚拟专用服务器VPS
服务器
僵尸网络
web服务
发展能力
恶意软件
代码签名证书
数字证书
漏洞利用
建立帐户
社交媒体帐户
Email账号
获得能力
恶意软件
工具
代码签名证书
数字证书<br>
漏洞利用
漏洞
初始访问
Drive-by Compromise
利用面向公众的应用程序
外部远程服务
硬件添加
网络钓鱼
鱼叉式附件<br>
鱼叉式链接
鱼叉式服务
通过可移动媒体复制
供应链Compromise<br>
损害软件依赖性和开发工具
损害软件供应链
损害硬件供应链
信任关系
有效帐户
默认账户
域帐户
本地帐户
云帐户
执行
命令和脚本解释器
PowerShell<br>
AppleScript<br>
Windows Command Shell<br>
Unix Shell<br>
Visual Basic<br>
Python<br>
JavaScript/JScript<br>
网络设备CLI
利用客户端执行
进程间通讯
组件对象模型
动态数据交换
Native API
计划任务
At (Windows)<br>
Scheduled Task<br>
At (Linux)<br>
Launchd<br>
Cron<br>
Systemd Timers<br>
Shared Modules<br>
软件部署工具
系统服务
Launchctl<br>
服务执行
用户执行
恶意链接
恶意文件
Windows管理规范
持久化
帐户操作
其他云凭证
Exchange电子邮件委托权限
添加Office 365全局管理员角色
SSH授权密钥
BITS Jobs
Boot或登录自动启动执行
注册表运行键/启动文件夹
认证包
时间提供者
Winlogon Helper DLL<br>
安全支持提供商
内核模块和扩展
重新打开的应用程序
LSASS驱动程序
快捷方式修改
端口监控器
Plist修改
打印处理器
Boot或登录初始化脚本
登录脚本(Windows)
登录脚本(Mac)
网络登录脚本
Rc.common<br>
启动项
浏览器扩展
损害客户端软件二进制
创建帐号
本地帐号
域帐号<br>
云账户
创建或修改系统进程
启动Agent<br>
系统服务
Windows服务
启动守护进程
事件触发执行
更改默认文件关联
屏幕保护
Windows管理规范事件订阅
.bash_profile和.bashrc
Trap<br>
LC_LOAD_DYLIB Addition<br>
Netsh助手DLL
辅助功能
AppCert DLLs<br>
AppInit DLLs<br>
Application Shimming<br>
image文件执行选项注入
PowerShell配置文件
Emond<br>
组件对象模型劫持
外部远程服务
劫持执行流
服务文件权限不足
可执行安装程序文件权限不足
服务注册中心权限不足
通过未引用路径截取路径
通过PATH环境变量进行路径拦截
通过搜索顺序劫持进行路径拦截
DLL搜索顺序劫持
DLL Side-Loading<br>
LD_PRELOAD<br>
Dylib劫持
COR_PROFILER
注入容器镜像
Office应用程序启动项
Add-ins<br>
Office模板宏
Outlook表格
Outlook 规则<br>
Outlook主页
Office Test<br>
Pre-OS Boot
系统固件
组件固件
Bootkit<br>
ROMMONkit<br>
TFTP Boot<br>
计划任务
At (Windows)<br>
计划任务
At (Linux)<br>
Launchd<br>
Cron<br>
Systemd Timers<br>
服务器软件组件
SQL存储过程
传输代理
Web Shell<br>
Traffic信号量
Port Knocking<br>
有效帐号
默认账号
域账号
本地账号
云账号
提升权限
滥用权限控制机制
Setuid和Setgid
绕过用户帐户控制
Sudo和Sudo缓存
Elevated Execution with Prompt<br>
操纵访问令牌Token
令牌模拟/盗窃
使用令牌创建流程
制作和模拟令牌
父级PID欺骗
SID历史注入
Boot或登录自启动执行
注册表运行键/启动文件夹
认证包
时间提供者
Winlogon帮助器DLL
安全支持提供商
内核模块和扩展
重新打开的应用程序
LSASS驱动程序
快捷方式修改
端口监控器
Plist修改
打印处理器
Boot或登录初始化脚本
登录脚本(Windows)
登录脚本(Mac)
网络登录脚本
Rc.common<br>
启动项
创建或修改系统进程
启动代理
系统服务
Windows服务<br>
启动守护进程
事件触发执行
更改默认文件关联
屏幕保护
Windows管理规范事件订阅
.bash_profile和.bashrc
Trap<br>
LC_LOAD_DYLIB Addition<br>
Netsh Helper DLL<br>
辅助功能
AppCert DLLs<br>
AppInit DLLs<br>
Application Shimming<br>
镜像文件执行选项注入
PowerShell配置文件
Emond<br>
组件对象模型劫持
利用权限提升<br>
组策略修改
劫持执行流
服务文件权限不足
可执行安装程序文件权限不足
服务注册中心权限不足
通过未引用路径截取路径
通过PATH环境变量进行路径拦截
通过搜索顺序劫持进行路径拦截
DLL搜索顺序劫持<br>
DLL Side-Loading<br>
LD_PRELOAD<br>
Dylib劫持
COR_PROFILER<br>
进程注入
动态链接库注入
Portable Executable Injection<br>
线程执行劫持
异步过程调用
线程本地存储
Ptrace系统调用
Proc Memory<br>
Extra Window Memory Injection
Process Doppelgänging<br>
Process Hollowing<br>
VDSO劫持
计划任务
At (Windows)<br>
计划任务
At (Linux)<br>
Launchd<br>
Cron<br>
系统计时器<br>
有效账号
默认账号
域账号
本地帐号
云账号
防御绕过
滥用权限控制机制
Setuid and Setgid<br>
绕过用户帐户控制
Sudo和Sudo缓存
Elevated Execution with Prompt<br>
操纵访问令牌Token
令牌模拟/盗窃
使用令牌创建流程
制作和模拟令牌
父级PID欺骗
SID历史注入
BITS任务
去除混淆/解码文件或信息
Direct Volume Access<br>
执行Guardrails
环境键控
Exploitation for Defense Evasion<br>
文件和目录权限修改
Windows文件和目录权限修改
Linux和Mac文件和目录权限修改
组策略修改
Hide Artifacts
隐藏的文件和目录
隐藏的用户
隐藏的窗口
NTFS文件属性
隐藏文件系统
运行虚拟实例
VBA Stomping<br>
劫持执行流
服务文件权限不足
可执行安装程序文件权限不足
服务注册中心权限不足
通过未引用路径截取路径
通过PATH环境变量进行路径拦截
通过搜索顺序劫持进行路径拦截
DLL搜索顺序劫持
DLL侧面加载
LD_PRELOAD<br>
Dylib劫持
COR_PROFILER<br>
损害防御
禁用或修改工具
禁用Windows事件记录
损害命令历史记录
禁用或修改系统防火墙
Indicator Blocking<br>
禁用或修改云防火墙
禁用云日志
Indicator Removal on Host
清除Windows事件日志
清除Linux或Mac系统日志
清除命令历史记录
文件删除
网络共享连接删除
Timestomp<br>
间接命令执行
伪装
无效的代码签名
从右到左的覆盖
重命名系统实用程序
Masquerade Task or Service<br>
匹配合法名称或位置
文件名后的空格
修改身份验证过程
域控制器身份验证
密码过滤器DLL
可插拔认证模块
网络设备认证
修改云计算基础架构
创建快照
创建云实例
删除云实例
还原云实例
修改注册表
修改系统image
补丁系统映像
降级系统映像<br>
Network Boundary Bridging
网络地址转换遍历
混淆文件或信息
二进制填充
软件包装
隐写术
交付后编译
从工具上卸下指示器
Pre-OS Boot
系统固件
组件固件
Bootkit<br>
ROMMONkit<br>
TFTP Boot<br>
进程注入
动态链接库注入
便携式可执行注入
线程执行劫持
异步过程调用
线程本地存储
Ptrace系统调用
处理内存
额外的窗口内存注入
Process Doppelgänging<br>
Process Hollowing<br>
VDSO劫持<br>
Rogue 域控制器
Rootkit<br>
签名的可执行二进制代理
Rundll32<br>
编译的HTML文件
控制面板
CMSTP<br>
InstallUtil<br>
Mshta<br>
Regsvcs/Regasm<br>
Regsvr32<br>
Msiexec<br>
Odbcconf<br>
Verclsid<br>
签名的可执行脚本代理
PubPrn<br>
Subvert Trust Controls
Gatekeeper Bypass<br>
代码签名<br>
SIP和信任提供者劫持
安装根证书
模板注入
Traffic信号量
Port Knocking<br>
受信任的可执行的开发人员实用程序代理
MSBuild<br>
未使用/不受支持的云区域
使用备用身份验证材料
通过哈希
通过Ticket<br>
应用程序访问令牌
网络会话Cookie
有效帐号
默认账户
域账号
本地账号
云账号
虚拟化/沙箱逃逸
系统检查
基于用户活动的检查
基于时间的规避
弱加密
减少键空间
禁用加密硬件
XSL Script Processing
凭据访问<br>
暴力破解
密码猜测
密码破解
密码喷洒
凭证填充
存储的密码凭证
Keychain<br>
安全存储器
来自Web浏览器的凭证
利用凭证访问
爆破Authentication
捕获输入
键盘记录
GUI Input Capture<br>
Web门户捕获
凭证API钩子
中间人Man-in-the-Middle
LLMNR / NBT-NS中毒和SMB中继
ARP缓存中毒
修改身份验证Process
域控制器身份验证
密码过滤器DLL<br>
可插拔认证模块
网络设备认证
网络嗅探
操作系统凭证转储
LSASS存储器
安全账户管理
NTDS<br>
DCSync<br>
Proc文件系统
/etc/passwd and /etc/shadow<br>
缓存的域凭证
LSA Secrets<br>
窃取应用程序访问令牌
窃取或伪造Kerberos票证
Golden Ticket<br>
Silver Ticket<br>
Kerberoasting<br>
AS-REP Roasting<br>
窃取Web会话Cookie
Two-Factor Authentication Interception<br>
Unsecured Credentials
文件中的凭证
注册表中的凭证
Bash历史
私钥
云实例元数据API
组策略首选项
发现
帐户发现
本地账户
域账户
email账户
云账户
应用程序窗口发现
浏览器书签发现
云基础架构发现
云服务仪表板
云服务发现
域信任发现
文件和目录发现
网络服务扫描
网络共享发现
网络嗅探
密码策略发现
外围设备发现
权限组发现
域组
云组
本地组
进程发现
查询注册表
远程系统发现
软件发现
安全软件发现
系统信息发现
系统网络配置发现
系统网络连接发现
系统所有者/用户发现
系统服务发现
系统时间发现
虚拟化/沙盒逃逸
系统检查
基于用户活动的检查
基于时间的规避
横向移动
远程服务的利用
内部鱼叉钓鱼
横向移动工具
远程服务会话劫持
SSH劫持
RDP劫持
远程服务
RDP
SMB / Windows管理员共享
分布式组件对象模型
SSH<br>
VNC<br>
Windows远程管理
通过可移动媒体复制
软件部署工具
污染共享内容
使用备用身份验证材料
通过哈希
通过Ticket
应用程序访问令牌
网络会话Cookie
收集
存档收集的数据
通过实用程序存档
通过库存档
通过自定义方法存档
捕获音频
自动收集
剪贴板数据
云存储对象的数据
来自配置库的数据
SNMP (MIB Dump)<br>
网络设备配置转储
信息库中的数据
Confluence<br>
Sharepoint<br>
本地系统的数据
网络共享驱动器的数据
可移动媒体的数据
数据分段
本地数据分段
远程数据分段
邮件收集
本地邮件收集
远程邮件收集
捕获输入
键盘记录
GUI Input Capture<br>
Web门户捕获
凭证API钩子
Man in the Browser<br>
中间人Man-in-the-Middle
LLMNR / NBT-NS中毒和SMB中继
ARP缓存中毒
屏幕截图
捕获视频
命令和控制
应用层协议
web协议
文件传输协议FTP
邮件协议
DNS<br>
通过可移动媒体进行通信
数据编码
标准编码
非标准编码
数据混淆
垃圾数据
隐写术
协议模拟
动态拆分
域生成算法
Fast Flux DNS<br>
DNS Calculation<br>
加密信道
对称加密
非对称加密
备用信道
Ingress Tool Transfer<br>
多级信道
非应用层协议
非标准端口
协议隧道
Proxy代理
内部代理
外部代理
多跳代理
Domain Fronting<br>
远程访问软件
Traffic信号量
Port Knocking<br>
web服务
Dead Drop Resolver<br>
双向通讯
单向通信
数据渗漏
自动渗漏
流量复制
数据传输大小限制
通过替代协议渗漏
通过对称加密的非C2协议进行渗漏
通过非对称加密非C2协议进行渗漏
通过未加密/混淆的非C2协议进行渗漏
通过C2通道渗漏
通过其他网络介质渗漏
通过蓝牙渗漏
在物理介质上的渗漏
通过USB渗漏
通过Web服务渗漏
渗入代码存储库
迁移到云存储
计划任务传输
将数据转移到云帐户
影响
帐户访问权限删除
数据销毁
加密数据产生影响
数据处理
存储数据操作
传输数据操作
运行时数据处理
Defacement<br>
内部污损
外部污损
永久删除磁盘数据
磁盘内容擦除
磁盘结构擦除
Endpoint DOS<br>
OS Exhaustion Flood<br>
Service Exhaustion Flood<br>
Application Exhaustion Flood<br>
Application or System Exploitation<br>
固件损坏
禁止系统恢复
网络拒绝服务
直接网络泛洪
反射放大Reflection Amplification<br>
资源劫持
服务停止
系统关机/重启
0 条评论
下一页
