跳转至

ATT&CK 中文版

侦察目标 资源准备 初始入口 执行攻击 持续控制 权限提升 防御规避 凭据访问 环境观察 横向移动 收集信息 命令与控制 窃取数据 侵害影响
主动扫描 获取访问权限 水坑攻击 云管理命令 账户操纵 滥用权限机制 滥用提升控制机制 中间人 帐户发现 利用远程服务 中间人 应用层协议 自动渗透 帐户访问权限删除
主机信息 获取基础架构 利用公开漏洞 命令和脚本 BITS 访问令牌操作 访问令牌操作 蛮力 应用程序窗口发现 内部鱼叉式钓鱼 存档收集的数据 可移动媒体通信 数据传输大小限制 数据销毁
身份信息 泄露帐户 外部远程服务 容器管理命令 自启动执行 自启动执行 BITS 存储中的凭据 浏览器信息发现 横向转移 音频捕获 数据编码 替代协议的渗透 加密的数据
网络信息 失陷基础架构 硬件添加 部署容器 初始化脚本 初始化脚本 在主机上构建映像 利用凭据访问 云基础架构发现 远程服务会话劫持 自动收集 数据混淆 C2通道渗出 数据操作
组织信息 开发能力 网络钓鱼 客户端执行 浏览器扩展 修改系统进程 调试器规避 强制身份验证 云服务仪表板 远程服务 浏览器会话劫持 动态分辨率 其他网络介质 恐吓误导
网络钓鱼获取信息 建立账户 可移动媒体 进程间通信 泄露客户端 域策略修改 对文件解密/解码 伪造网络凭据 云服务发现 可移动媒体 剪贴板数据 加密通道 物理介质上渗出 磁盘擦除
搜索闭源 获取能力 供应链攻击 原生接口 创建帐户 逃逸主机 部署容器 输入捕获 云存储对象发现 软件部署工具 云存储的数据 回退通道 Web服务渗出 终端拒绝服务
搜索开放技术数据库 投放能力 信任关系 计划任务 系统进程 事件触发执行 直接卷访问 修改验证过程 容器和资源发现 污染共享内容 配置存储库的数据 入口工具传输 定时接送 固件损坏
搜索开放网站/域 有效帐户 无服务执行 事件触发 利用特权升级 域策略修改 多重验证拦截 调试器规避 备用身份验证材料 信息存储库的数据 多级通道 数据传输到云帐户 抑制系统恢复
搜索拥有的网站 共享模块 外部远程服务 劫持执行流程 组策略修改 多重验证请求生成 设备驱动程序发现 本地系统的数据 非应用层协议 网络拒绝服务
软件部署工具 劫持执行流程 注入进程 域信任修改 网络嗅探 域信任发现 共享云端硬盘的数据 非标端口 资源劫持
系统服务 植入容器镜像 计划任务/作业 执行护栏 凭据转储 文件和目录发现 可移动媒体的数据 协议隧道 服务停止
用户执行 修改验证过程 有效账户 防御规避利用 窃取访问令牌 组策略发现 数据暂存 代理 系统关机/重启
WMI 办公应用启动 文件和目录权限修改 伪造身份证书 网络服务发现 电子邮件收集 远程访问软件
预操作系统启动 隐藏工件 伪造票据 网络共享发现 输入捕获 流量信号
计划任务/作业 劫持执行流程 窃取网络会话 网络嗅探 屏幕截图 网络服务
服务器软件组件 损害防御 不安全的凭据 密码策略发现 视频捕获
流量信号 指标移除 外围设备
有效帐户 间接命令执行 权限组发现
伪装 进程发现
修改验证过程 查询注册表
修改云计算基础架构 远程系统发现
修改注册表 软件发现
修改系统映像 系统信息发现
网络边界桥接 系统位置发现
混淆的文件 系统网络配置发现
Plist文件修改 系统网络连接发现
预操作系统启动 系统所有者/用户发现
注入进程 系统服务发现
反射代码加载 系统时间发现
恶意域控制器 虚拟化/沙盒规避
Rootkit
信任控制
系统代理执行
脚本代理执行
模板注入
流量信号
受信任的人员
未使用/不支持的云区域
使用备用身份验证材料
有效帐户
虚拟化/沙盒规避
削弱加密
XSL 脚本处理

ATT&CK 框架信息量巨大,持续更新中...