ATT&CK中文矩阵! 由0xShe网络安全导航提供 🦢🦢🦢.....
🔰返回0xShe网络安全导航首页🔰 sbbbb.cn
企业ATT&CK矩阵
展开目录
收起分支
侦察
资源开发
初始访问
执行
持久控制
提权
绕过防御
凭证访问
发现
横向渗透
信息收集
命令控制
信息盗取
造成的影响
10种技巧
7种技巧
9种技巧
12种技巧
19种技巧
13种技巧
39种技巧
15种技巧
27种技巧
9种技巧
17种技巧
16种技巧
9种技巧
13种技巧
主动扫描
(2)
🔰
扫描IP段
漏洞扫描
收集受害者主机信息
(4)
🔰
硬件
软件
固件
客户端配置
收集受害者身份信息
(3)
🔰
证书
电子邮件地址
员工姓名
收集受害者网络信息
(6)
🔰
域名属性
域名解析
网络信任依赖项
网络拓扑结构
IP地址
网络安全设备
收集受害者组织信息
(4)
🔰
业务关系
确定物理位置
确定业务规律
确定角色
网络钓鱼信息
(3)
🔰
鱼叉式服务
鱼叉式附件
鱼叉式链接
搜索封闭源
(2)
🔰
供应链攻击
购买技术数据
搜索开放的技术数据库
(5)
🔰
whois
DNS/被动DNS
数字证书
CDNs
扫描数据库
搜索开放式网站/域名
(2)
🔰
社交媒体
搜索引擎
搜索受害者拥有的网站
获取基础设施
(6)
🔰
域名
DNS服务器
虚拟专用服务器
服务器
僵尸网络
网页服务
妥协帐户
(2)
🔰
社交媒体帐户
邮箱帐号
已侵害基础架构
(6)
🔰
域名
DNS服务器
虚拟专用服务器
服务器
僵尸网络
网页服务
开发能力
(4)
🔰
恶意软件
代码签名证书
数字证书
漏洞利用[exp]
建立帐户
(2)
🔰
社交媒体帐户
邮箱帐号
获得的能力
(6)
🔰
恶意软件
工具
代码签名证书
数字证书
漏洞利用[exp]
漏洞
现阶段能力
(5)
🔰
上传恶意软件
上传工具
安装数字证书
路过目标
连接目标
路过目标
利用面向公众的应用程序
外部远程服务
硬件添加
网络钓鱼
(3)
🔰
鱼叉式附件
鱼叉式链接
鱼叉式服务
通过可移动媒体传播
供应链攻击
(3)
🔰
入侵软件依赖包和开发工具
入侵软件供应链
入侵硬件供应链
信任关系
有效帐户
(4)
🔰
默认帐户
域帐号
本地账户
云帐户
命令和脚本解释器
(8)
🔰
PowerShell
AppleScript
Windows命令shell
Unix Shell
Visual Basic
Python
JavaScript
网络设备CLI
容器管理命令
部署容器
客户端执行exp
进程间通信
(2)
🔰
组件对象模块
动态数据交换
本机API
计划任务/工作
(7)
🔰
Windows上
计划任务
在(Linux)
Launchd守护进程
cron任务调度
系统计时器
容器编排工作
共享模块
软件部署工具
系统服务
(2)
🔰
Launchctl
服务执行
用户执行
(3)
🔰
恶意链接
恶意文件
恶意图片
Windows管理规范
帐户操作
(4)
🔰
额外的云凭证
Exchange电子邮件委托权限
添加Office 365全局管理员角色
SSH授权密钥
BITS工作
引导或登录自启动执行
(14)
🔰
注册表运行keys/启动文件夹
认证包
时间提供者
Winlogon帮助器DLL
安全支持提供者
内核模块和扩展
重新打开应用程序
LSASS驱动程序
快捷方式修改
端口监控器
Plist修改
打印处理器
XDG自动启动条目
活动设置
引导或登录初始化脚本
(5)
🔰
登录脚本(Windows)
登录脚本(Mac)
网络登录脚本
RC脚本
启动项
浏览器扩展
损害客户端软件二进制
创建帐户
(3)
🔰
本地帐号
域帐号
云帐户
创建或修改系统进程
(4)
🔰
运行代理
系统服务
Windows服务
启动守护程序
事件触发执行
(15)
🔰
更改默认文件关联
屏幕保护
Windows管理规范事件订阅
Unix Shell配置修改
trap
LC_LOAD_DYLIB加法
Netsh助手DLL
辅助功能
AppCert DLL
AppInit DLL
应用程序调整
图像文件执行选项注入
PowerShell配置文件
emond
组件对象模块劫持
外部远程服务
劫持执行流程
(11)
🔰
服务文件权限不足
可执行安装程序文件权限不足
服务注册中心权限不足
通过未引用路径截取路径
通过PATH环境变量进行路径拦截
通过搜索顺序劫持进行路径拦截
DLL搜索顺序劫持
DLL侧面加载
动态链接器劫持
Dylib劫持
COR_PROFILER
植入图像内部
修改身份验证过程
(4)
🔰
域控制器身份验证
密码过滤器DLL
可插拔认证模块
网络设备认证
Office应用程序启动
(6)
🔰
加载项
Office模板宏
Outlook表格
Outlook规则
Outlook主页
office测试
在操作系统前启动
(5)
🔰
系统固件
组件固件
引导套件
ROMMON工具包
TFTP引导
预定任务/作业
(7)
🔰
在(Windows)
计划任务
在(Linux)
运行
Cron
系统计时器
容器编排工作
服务器软件组件
(3)
🔰
SQL存储过程
运输代理
web shell
交通信号灯
(1)
🔰
端口探测
有效帐户
(4)
🔰
预设帐户
域帐号
本地账户
云帐户
滥用提权机制
(4)
🔰
Setuid和Setgid
绕过用户帐户控制
Sudo和Sudo缓存
立即提升执行
访问令牌操作
(5)
🔰
令牌模拟/盗窃
使用令牌创建进程
制作和模拟令牌
父级PID欺骗
SID历史注入
引导或登录自动启动执行
(14)
🔰
注册表运行键/启动文件夹
认证包
时间提供者
Winlogon帮助器DLL
安全支持提供者
内核模块和扩展
重新打开的应用程序
LSASS驱动程序
快捷方式修改
端口监控器
Plist修改
打印处理器
XDG自启动条目
活动设置
引导或登录初始化脚本
(5)
🔰
登录脚本(Windows)
登录脚本(Mac)
网络登录脚本
RC脚本
启动项目
创建或修改系统过程
(4)
🔰
运行代理
系统服务
Windows服务
启动守护程序
域策略修改
(2)
🔰
组策略修改
域信任修改
虚拟机逃逸到主机
事件触发执行
(15)
🔰
更改默认文件关联
屏幕保护
Windows管理规范事件订阅
Unix Shell配置修改
trap
LC_LOAD_DYLIB加法
Netsh助手DLL
辅助功能
AppCert DLL
AppInit DLL
应用匀场
图像文件执行选项注入
PowerShell配置文件
Emond
组件对象模型劫持
提权
劫持执行流程
(11)
🔰
服务文件权限
可执行安装程序文件权限缺陷
服务注册表权限缺陷
通过未引用路径截取路径
通过PATH环境变量进行路径拦截
通过搜索顺序劫持进行路径拦截
DLL搜索顺序劫持
DLL侧面加载
动态链接器劫持
Dylib劫持
COR_PROFILER
进程注入
(11)
🔰
= 动态链接库注入
便携式可执行注射
线程执行劫持
异步过程调用
线程本地存储
Ptrace系统调用
处理内存
额外windows内存注入
工艺流程
工艺空洞
VDSO劫持
预定任务/作业
(7)
🔰
(Windows)
计划任务
(Linux)
Launchd
Cron
系统计时器
容器编排工作
有效帐户
(4)
🔰
预设帐户
域帐号
本地账户
云帐户
滥用提权控制机制
(4)
🔰
Setuid和Setgid
绕过用户帐户控制
Sudo和Sudo缓存
即时执行提权
访问令牌操作
(5)
🔰
令牌模拟/盗窃
使用令牌创建流程
制作和模拟令牌
父级PID欺骗
SID历史注入
BITS工作
在主机上建立镜像
反混淆/解码文件或信息
部署容器
直接访问卷
域策略修改
(2)
🔰
组策略修改
域信任修改
执行护栏
(1)
🔰
环境键控
绕过防御执行exp
文件和目录权限修改
(2)
🔰
Windows文件目录权限修改
Linux和Mac文件目录权限修改
隐藏文件
(7)
🔰
隐藏的文件和目录
隐藏的用户
隐藏的窗口
NTFS文件属性
隐藏文件系统
运行虚拟实例
VBA payloads
劫持执行流程
(11)
🔰
服务文件权限不足
可执行安装程序文件权限不足
服务注册中心权限不足
通过未引用路径截取路径
通过PATH环境变量进行路径拦截
通过搜索顺序劫持进行路径拦截
DLL搜索顺序劫持
DLL侧面加载
动态链接器劫持
Dylib劫持
COR_PROFILER
破坏防御机制
(7)
🔰
禁用或修改工具
禁用Windows事件记录
损害命令历史记录
禁用或修改系统防火墙
指标封锁
禁用或修改云防火墙
禁用云日志
主机上的指示灯卸下
(6)
🔰
清除Windows事件日志
清除Linux或Mac系统日志
清除命令历史记录
文件删除
网络共享连接删除
Timestomp
间接命令执行
伪装
(6)
🔰
无效的代码签名
从右到左的覆盖
重命名系统实用程序
伪装任务或服务
匹配合法名称或位置
文件名后加空格
修改身份验证过程
(4)
🔰
域控制器身份验证
密码过滤器DLL
可插拔认证模块
网络设备认证
修改云计算基础架构
(4)
🔰
创建快照
创建云实例
删除云实例
还原云实例
修改注册表
修改系统镜像
(2)
🔰
修补程序系统镜像
系统镜像降级
网络边界桥接
(1)
🔰
网络地址转换遍历
混淆的文件或信息
(5)
🔰
二进制填充
软件包装
隐写术
交付后编译
从工具上卸下指示器
操作系统前启动
(5)
🔰
系统固件
组件固件
引导套件
ROMMON工具包
TFTP引导
进程注入
(11)
🔰
动态链接库注入
便携式可执行注入
线程执行劫持
异步过程调用
线程本地存储
Ptrace系统调用
处理内存
额外Window内存注入
工艺流程
工艺空洞
VDSO劫持
流氓域控制器
Rootkit
签名的二进制代理执行
(11)
🔰
Rundll32
编译的HTML文件
控制面板
CMSTP
InstallUtil
Mshta
Regsvcs/Regasm
Regsvr32
Msiexec
Odbcconf
Verclsid
签名脚本代理执行
(1)
🔰
PubPrn
颠覆信任控制
(6)
🔰
Gatekeeper绕过
代码签名
SIP和信任提供者劫持
安装根证书
网络标记绕过
代码签名策略修改
模板注入
交通信号灯
(1)
🔰
端口探测
受信任开发人员的实用程序代理执行
(1)
🔰
MSBuild
未使用/不受支持的云区域
使用替代身份验证材料
(4)
🔰
通过Hash
通过Ticket
应用程序token
网页会话Cookie
有效帐户
(4)
🔰
默认账户
域账户
本地账户
云账户
虚拟机/沙盒逃逸
(3)
🔰
系统检查
基于用户活动的检查
基于时间的规避
弱加密
(2)
🔰
减少输入空间
禁用加密硬件
XSL处理脚本
暴力破解
(4)
🔰
密码猜测
密码破解
密码喷洒
凭证填充
来自密码存储区的凭证
(5)