ATT&CK
2020-11-27 17:52:15 4 举报
AI智能生成
ATT&CK Enterprise中文版思维导图
作者其他创作
大纲/内容
侦查
主动扫描
扫描ip模块
漏洞扫描
收集受害者主机信息
硬件
软件
防火墙
客户端配置
收集受害者身份信息
证书
邮箱地址
员工姓名
收集受害者网络信息
域属性
DNS
网络信任依赖项
网络拓扑结构
IP地址
网络安全设备
收集受害者组织信息
业务关系
详细物理位置
明确业务节奏
明确角色
网络钓鱼信息
鱼叉式网络钓鱼服务
鱼叉式网络钓鱼附件
鱼叉式网络钓鱼链接
搜索封闭源
有威胁的英特尔供应商
购买技术数据信息
搜索开放的技术数据库
WHOIS
DNS/Passive DNS
数字证书
CDNs
扫描数据库
搜索开放的网站/域
社交媒体
搜索引擎
子主题
搜索受害人拥有的网站
资源拓展
获取基础设施
域
DNS服务器
虚拟专用服务器VPS
服务器
僵尸网络
web服务
损害帐户
社交媒体帐户
Email帐号
损害基础设施
域
DNS服务器
虚拟专用服务器VPS
服务器
僵尸网络
web服务
发展能力
恶意软件
代码签名证书
数字证书
漏洞利用
建立帐户
社交媒体帐户
Email账号
获得能力
恶意软件
工具
代码签名证书
数字证书
漏洞利用
漏洞
初始访问
Drive-by Compromise
利用面向公众的应用程序
外部远程服务
硬件添加
网络钓鱼
鱼叉式附件
鱼叉式链接
鱼叉式服务
通过可移动媒体复制
供应链Compromise
损害软件依赖性和开发工具
损害软件供应链
损害硬件供应链
信任关系
有效帐户
默认账户
域帐户
本地帐户
云帐户
执行
命令和脚本解释器
PowerShell
AppleScript
Windows Command Shell
Unix Shell
Visual Basic
Python
JavaScript/JScript
网络设备CLI
利用客户端执行
进程间通讯
组件对象模型
动态数据交换
Native API
计划任务
At (Windows)
Scheduled Task
At (Linux)
Launchd
Cron
Systemd Timers
Shared Modules
软件部署工具
系统服务
Launchctl
服务执行
用户执行
恶意链接
恶意文件
Windows管理规范
持久化
帐户操作
其他云凭证
Exchange电子邮件委托权限
添加Office 365全局管理员角色
SSH授权密钥
BITS Jobs
Boot或登录自动启动执行
注册表运行键/启动文件夹
认证包
时间提供者
Winlogon Helper DLL
安全支持提供商
内核模块和扩展
重新打开的应用程序
LSASS驱动程序
快捷方式修改
端口监控器
Plist修改
打印处理器
Boot或登录初始化脚本
登录脚本(Windows)
登录脚本(Mac)
网络登录脚本
Rc.common
启动项
浏览器扩展
损害客户端软件二进制
创建帐号
本地帐号
域帐号
云账户
创建或修改系统进程
启动Agent
系统服务
Windows服务
启动守护进程
事件触发执行
更改默认文件关联
屏幕保护
Windows管理规范事件订阅
.bash_profile和.bashrc
Trap
LC_LOAD_DYLIB Addition
Netsh助手DLL
辅助功能
AppCert DLLs
AppInit DLLs
Application Shimming
image文件执行选项注入
PowerShell配置文件
Emond
组件对象模型劫持
外部远程服务
劫持执行流
服务文件权限不足
可执行安装程序文件权限不足
服务注册中心权限不足
通过未引用路径截取路径
通过PATH环境变量进行路径拦截
通过搜索顺序劫持进行路径拦截
DLL搜索顺序劫持
DLL Side-Loading
LD_PRELOAD
Dylib劫持
COR_PROFILER
注入容器镜像
Office应用程序启动项
Add-ins
Office模板宏
Outlook表格
Outlook 规则
Outlook主页
Office Test
Pre-OS Boot
系统固件
组件固件
Bootkit
ROMMONkit
TFTP Boot
计划任务
At (Windows)
计划任务
At (Linux)
Launchd
Cron
Systemd Timers
服务器软件组件
SQL存储过程
传输代理
Web Shell
Traffic信号量
Port Knocking
有效帐号
默认账号
域账号
本地账号
云账号
提升权限
滥用权限控制机制
Setuid和Setgid
绕过用户帐户控制
Sudo和Sudo缓存
Elevated Execution with Prompt
操纵访问令牌Token
令牌模拟/盗窃
使用令牌创建流程
制作和模拟令牌
父级PID欺骗
SID历史注入
Boot或登录自启动执行
注册表运行键/启动文件夹
认证包
时间提供者
Winlogon帮助器DLL
安全支持提供商
内核模块和扩展
重新打开的应用程序
LSASS驱动程序
快捷方式修改
端口监控器
Plist修改
打印处理器
Boot或登录初始化脚本
登录脚本(Windows)
登录脚本(Mac)
网络登录脚本
Rc.common
启动项
创建或修改系统进程
启动代理
系统服务
Windows服务
启动守护进程
事件触发执行
更改默认文件关联
屏幕保护
Windows管理规范事件订阅
.bash_profile和.bashrc
Trap
LC_LOAD_DYLIB Addition
Netsh Helper DLL
辅助功能
AppCert DLLs
AppInit DLLs
Application Shimming
镜像文件执行选项注入
PowerShell配置文件
Emond
组件对象模型劫持
利用权限提升
组策略修改
劫持执行流
服务文件权限不足
可执行安装程序文件权限不足
服务注册中心权限不足
通过未引用路径截取路径
通过PATH环境变量进行路径拦截
通过搜索顺序劫持进行路径拦截
DLL搜索顺序劫持
DLL Side-Loading
LD_PRELOAD
Dylib劫持
COR_PROFILER
进程注入
动态链接库注入
Portable Executable Injection
线程执行劫持
异步过程调用
线程本地存储
Ptrace系统调用
Proc Memory
Extra Window Memory Injection
Process Doppelgänging
Process Hollowing
VDSO劫持
计划任务
At (Windows)
计划任务
At (Linux)
Launchd
Cron
系统计时器
有效账号
默认账号
域账号
本地帐号
云账号
防御绕过
滥用权限控制机制
Setuid and Setgid
绕过用户帐户控制
Sudo和Sudo缓存
Elevated Execution with Prompt
操纵访问令牌Token
令牌模拟/盗窃
使用令牌创建流程
制作和模拟令牌
父级PID欺骗
SID历史注入
BITS任务
去除混淆/解码文件或信息
Direct Volume Access
执行Guardrails
环境键控
Exploitation for Defense Evasion
文件和目录权限修改
Windows文件和目录权限修改
Linux和Mac文件和目录权限修改
组策略修改
Hide Artifacts
隐藏的文件和目录
隐藏的用户
隐藏的窗口
NTFS文件属性
隐藏文件系统
运行虚拟实例
VBA Stomping
劫持执行流
服务文件权限不足
可执行安装程序文件权限不足
服务注册中心权限不足
通过未引用路径截取路径
通过PATH环境变量进行路径拦截
通过搜索顺序劫持进行路径拦截
DLL搜索顺序劫持
DLL侧面加载
LD_PRELOAD
Dylib劫持
COR_PROFILER
损害防御
禁用或修改工具
禁用Windows事件记录
损害命令历史记录
禁用或修改系统防火墙
Indicator Blocking
禁用或修改云防火墙
禁用云日志
Indicator Removal on Host
清除Windows事件日志
清除Linux或Mac系统日志
清除命令历史记录
文件删除
网络共享连接删除
Timestomp
间接命令执行
伪装
无效的代码签名
从右到左的覆盖
重命名系统实用程序
Masquerade Task or Service
匹配合法名称或位置
文件名后的空格
修改身份验证过程
域控制器身份验证
密码过滤器DLL
可插拔认证模块
网络设备认证
修改云计算基础架构
创建快照
创建云实例
删除云实例
还原云实例
修改注册表
修改系统image
补丁系统映像
降级系统映像
Network Boundary Bridging
网络地址转换遍历
混淆文件或信息
二进制填充
软件包装
隐写术
交付后编译
从工具上卸下指示器
Pre-OS Boot
系统固件
组件固件
Bootkit
ROMMONkit
TFTP Boot
进程注入
动态链接库注入
便携式可执行注入
线程执行劫持
异步过程调用
线程本地存储
Ptrace系统调用
处理内存
额外的窗口内存注入
Process Doppelgänging
Process Hollowing
VDSO劫持
Rogue 域控制器
Rootkit
签名的可执行二进制代理
Rundll32
编译的HTML文件
控制面板
CMSTP
InstallUtil
Mshta
Regsvcs/Regasm
Regsvr32
Msiexec
Odbcconf
Verclsid
签名的可执行脚本代理
PubPrn
Subvert Trust Controls
Gatekeeper Bypass
代码签名
SIP和信任提供者劫持
安装根证书
模板注入
Traffic信号量
Port Knocking
受信任的可执行的开发人员实用程序代理
MSBuild
未使用/不受支持的云区域
使用备用身份验证材料
通过哈希
通过Ticket
应用程序访问令牌
网络会话Cookie
有效帐号
默认账户
域账号
本地账号
云账号
虚拟化/沙箱逃逸
系统检查
基于用户活动的检查
基于时间的规避
弱加密
减少键空间
禁用加密硬件
XSL Script Processing
凭据访问
暴力破解
密码猜测
密码破解
密码喷洒
凭证填充
存储的密码凭证
Keychain
安全存储器
来自Web浏览器的凭证
利用凭证访问
爆破Authentication
捕获输入
键盘记录
GUI Input Capture
Web门户捕获
凭证API钩子
中间人Man-in-the-Middle
LLMNR / NBT-NS中毒和SMB中继
ARP缓存中毒
修改身份验证Process
域控制器身份验证
密码过滤器DLL
可插拔认证模块
网络设备认证
网络嗅探
操作系统凭证转储
LSASS存储器
安全账户管理
NTDS
DCSync
Proc文件系统
/etc/passwd and /etc/shadow
缓存的域凭证
LSA Secrets
窃取应用程序访问令牌
窃取或伪造Kerberos票证
Golden Ticket
Silver Ticket
Kerberoasting
AS-REP Roasting
窃取Web会话Cookie
Two-Factor Authentication Interception
Unsecured Credentials
文件中的凭证
注册表中的凭证
Bash历史
私钥
云实例元数据API
组策略首选项
发现
帐户发现
本地账户
域账户
email账户
云账户
应用程序窗口发现
浏览器书签发现
云基础架构发现
云服务仪表板
云服务发现
域信任发现
文件和目录发现
网络服务扫描
网络共享发现
网络嗅探
密码策略发现
外围设备发现
权限组发现
域组
云组
本地组
进程发现
查询注册表
远程系统发现
软件发现
安全软件发现
系统信息发现
系统网络配置发现
系统网络连接发现
系统所有者/用户发现
系统服务发现
系统时间发现
虚拟化/沙盒逃逸
系统检查
基于用户活动的检查
基于时间的规避
横向移动
远程服务的利用
内部鱼叉钓鱼
横向移动工具
远程服务会话劫持
SSH劫持
RDP劫持
远程服务
RDP
SMB / Windows管理员共享
分布式组件对象模型
SSH
VNC
Windows远程管理
通过可移动媒体复制
软件部署工具
污染共享内容
使用备用身份验证材料
通过哈希
通过Ticket
应用程序访问令牌
网络会话Cookie
收集
存档收集的数据
通过实用程序存档
通过库存档
通过自定义方法存档
捕获音频
自动收集
剪贴板数据
云存储对象的数据
来自配置库的数据
SNMP (MIB Dump)
网络设备配置转储
信息库中的数据
Confluence
Sharepoint
本地系统的数据
网络共享驱动器的数据
可移动媒体的数据
数据分段
本地数据分段
远程数据分段
邮件收集
本地邮件收集
远程邮件收集
捕获输入
键盘记录
GUI Input Capture
Web门户捕获
凭证API钩子
Man in the Browser
中间人Man-in-the-Middle
LLMNR / NBT-NS中毒和SMB中继
ARP缓存中毒
屏幕截图
捕获视频
命令和控制
应用层协议
web协议
文件传输协议FTP
邮件协议
DNS
通过可移动媒体进行通信
数据编码
标准编码
非标准编码
数据混淆
垃圾数据
隐写术
协议模拟
动态拆分
域生成算法
Fast Flux DNS
DNS Calculation
加密信道
对称加密
非对称加密
备用信道
Ingress Tool Transfer
多级信道
非应用层协议
非标准端口
协议隧道
Proxy代理
内部代理
外部代理
多跳代理
Domain Fronting
远程访问软件
Traffic信号量
Port Knocking
web服务
Dead Drop Resolver
双向通讯
单向通信
数据渗漏
自动渗漏
流量复制
数据传输大小限制
通过替代协议渗漏
通过对称加密的非C2协议进行渗漏
通过非对称加密非C2协议进行渗漏
通过未加密/混淆的非C2协议进行渗漏
通过C2通道渗漏
通过其他网络介质渗漏
通过蓝牙渗漏
在物理介质上的渗漏
通过USB渗漏
通过Web服务渗漏
渗入代码存储库
迁移到云存储
计划任务传输
将数据转移到云帐户
影响
帐户访问权限删除
数据销毁
加密数据产生影响
数据处理
存储数据操作
传输数据操作
运行时数据处理
Defacement
内部污损
外部污损
永久删除磁盘数据
磁盘内容擦除
磁盘结构擦除
Endpoint DOS
OS Exhaustion Flood
Service Exhaustion Flood
Application Exhaustion Flood
Application or System Exploitation
固件损坏
禁止系统恢复
网络拒绝服务
直接网络泛洪
反射放大Reflection Amplification
资源劫持
服务停止
系统关机/重启
0 条评论
下一页