ATT&CK中文矩阵!      由0xShe网络安全导航提供            🦢🦢🦢.....               🔰返回0xShe网络安全导航首页🔰   sbbbb.cn

企业ATT&CK矩阵

侦察 资源开发 初始访问 执行 持久控制 提权 绕过防御 凭证访问 发现 横向渗透 信息收集 命令控制 信息盗取 造成的影响
10种技巧 7种技巧 9种技巧 12种技巧 19种技巧 13种技巧 39种技巧 15种技巧 27种技巧 9种技巧 17种技巧 16种技巧 9种技巧 13种技巧
主动扫描 (2)
🔰
扫描IP段
漏洞扫描
收集受害者主机信息 (4)
🔰
硬件
软件
固件
客户端配置
收集受害者身份信息 (3)
🔰
证书
电子邮件地址
员工姓名
收集受害者网络信息 (6)
🔰
域名属性
域名解析
网络信任依赖项
网络拓扑结构
IP地址
网络安全设备
收集受害者组织信息 (4)
🔰
业务关系
确定物理位置
确定业务规律
确定角色
网络钓鱼信息 (3)
🔰
鱼叉式服务
鱼叉式附件
鱼叉式链接
搜索封闭源 (2)
🔰
供应链攻击
购买技术数据
搜索开放的技术数据库 (5)
🔰
whois
DNS/被动DNS
数字证书
CDNs
扫描数据库
搜索开放式网站/域名 (2)
🔰
社交媒体
搜索引擎
搜索受害者拥有的网站
获取基础设施 (6)
🔰
域名
DNS服务器
虚拟专用服务器
服务器
僵尸网络
网页服务
妥协帐户 (2)
🔰
社交媒体帐户
邮箱帐号
已侵害基础架构 (6)
🔰
域名
DNS服务器
虚拟专用服务器
服务器
僵尸网络
网页服务
开发能力 (4)
🔰
恶意软件
代码签名证书
数字证书
漏洞利用[exp]
建立帐户 (2)
🔰
社交媒体帐户
邮箱帐号
获得的能力 (6)
🔰
恶意软件
工具
代码签名证书
数字证书
漏洞利用[exp]
漏洞
现阶段能力 (5)
🔰
上传恶意软件
上传工具
安装数字证书
路过目标
连接目标
路过目标
利用面向公众的应用程序
外部远程服务
硬件添加
网络钓鱼 (3)
🔰
鱼叉式附件
鱼叉式链接
鱼叉式服务
通过可移动媒体传播
供应链攻击 (3)
🔰
入侵软件依赖包和开发工具
入侵软件供应链
入侵硬件供应链
信任关系
有效帐户 (4)
🔰
默认帐户
域帐号
本地账户
云帐户
命令和脚本解释器 (8)
🔰
PowerShell
AppleScript
Windows命令shell
Unix Shell
Visual Basic
Python
JavaScript
网络设备CLI
容器管理命令
部署容器
客户端执行exp
进程间通信 (2)
🔰
组件对象模块
动态数据交换
本机API
计划任务/工作 (7)
🔰
Windows上
计划任务
在(Linux)
Launchd守护进程
cron任务调度
系统计时器
容器编排工作
共享模块
软件部署工具
系统服务 (2)
🔰
Launchctl
服务执行
用户执行 (3)
🔰
恶意链接
恶意文件
恶意图片
Windows管理规范
帐户操作 (4)
🔰
额外的云凭证
Exchange电子邮件委托权限
添加Office 365全局管理员角色
SSH授权密钥
BITS工作
引导或登录自启动执行 (14)
🔰
注册表运行keys/启动文件夹
认证包
时间提供者
Winlogon帮助器DLL
安全支持提供者
内核模块和扩展
重新打开应用程序
LSASS驱动程序
快捷方式修改
端口监控器
Plist修改
打印处理器
XDG自动启动条目
活动设置
引导或登录初始化脚本 (5)
🔰
登录脚本(Windows)
登录脚本(Mac)
网络登录脚本
RC脚本
启动项
浏览器扩展
损害客户端软件二进制
创建帐户 (3)
🔰
本地帐号
域帐号
云帐户
创建或修改系统进程 (4)
🔰
运行代理
系统服务
Windows服务
启动守护程序
事件触发执行 (15)
🔰
更改默认文件关联
屏幕保护
Windows管理规范事件订阅
Unix Shell配置修改
trap
LC_LOAD_DYLIB加法
Netsh助手DLL
辅助功能
AppCert DLL
AppInit DLL
应用程序调整
图像文件执行选项注入
PowerShell配置文件
emond
组件对象模块劫持
外部远程服务
劫持执行流程 (11)
🔰
服务文件权限不足
可执行安装程序文件权限不足
服务注册中心权限不足
通过未引用路径截取路径
通过PATH环境变量进行路径拦截
通过搜索顺序劫持进行路径拦截
DLL搜索顺序劫持
DLL侧面加载
动态链接器劫持
Dylib劫持
COR_PROFILER
植入图像内部
修改身份验证过程 (4)
🔰
域控制器身份验证
密码过滤器DLL
可插拔认证模块
网络设备认证
Office应用程序启动 (6)
🔰
加载项
Office模板宏
Outlook表格
Outlook规则
Outlook主页
office测试
在操作系统前启动 (5)
🔰
系统固件
组件固件
引导套件
ROMMON工具包
TFTP引导
预定任务/作业 (7)
🔰
在(Windows)
计划任务
在(Linux)
运行
Cron
系统计时器
容器编排工作
服务器软件组件 (3)
🔰
SQL存储过程
运输代理
web shell
交通信号灯 (1)
🔰
端口探测
有效帐户 (4)
🔰
预设帐户
域帐号
本地账户
云帐户
滥用提权机制 (4)
🔰
Setuid和Setgid
绕过用户帐户控制
Sudo和Sudo缓存
立即提升执行
访问令牌操作 (5)
🔰
令牌模拟/盗窃
使用令牌创建进程
制作和模拟令牌
父级PID欺骗
SID历史注入
引导或登录自动启动执行 (14)
🔰
注册表运行键/启动文件夹
认证包
时间提供者
Winlogon帮助器DLL
安全支持提供者
内核模块和扩展
重新打开的应用程序
LSASS驱动程序
快捷方式修改
端口监控器
Plist修改
打印处理器
XDG自启动条目
活动设置
引导或登录初始化脚本 (5)
🔰
登录脚本(Windows)
登录脚本(Mac)
网络登录脚本
RC脚本
启动项目
创建或修改系统过程 (4)
🔰
运行代理
系统服务
Windows服务
启动守护程序
域策略修改 (2)
🔰
组策略修改
域信任修改
虚拟机逃逸到主机
事件触发执行 (15)
🔰
更改默认文件关联
屏幕保护
Windows管理规范事件订阅
Unix Shell配置修改
trap
LC_LOAD_DYLIB加法
Netsh助手DLL
辅助功能
AppCert DLL
AppInit DLL
应用匀场
图像文件执行选项注入
PowerShell配置文件
Emond
组件对象模型劫持
提权
劫持执行流程 (11)
🔰
服务文件权限
可执行安装程序文件权限缺陷
服务注册表权限缺陷
通过未引用路径截取路径
通过PATH环境变量进行路径拦截
通过搜索顺序劫持进行路径拦截
DLL搜索顺序劫持
DLL侧面加载
动态链接器劫持
Dylib劫持
COR_PROFILER
进程注入 (11)
🔰
= 动态链接库注入
便携式可执行注射
线程执行劫持
异步过程调用
线程本地存储
Ptrace系统调用
处理内存
额外windows内存注入
工艺流程
工艺空洞
VDSO劫持
预定任务/作业 (7)
🔰
(Windows)
计划任务
(Linux)
Launchd
Cron
系统计时器
容器编排工作
有效帐户 (4)
🔰
预设帐户
域帐号
本地账户
云帐户
滥用提权控制机制 (4)
🔰
Setuid和Setgid
绕过用户帐户控制
Sudo和Sudo缓存
即时执行提权
访问令牌操作 (5)
🔰
令牌模拟/盗窃
使用令牌创建流程
制作和模拟令牌
父级PID欺骗
SID历史注入
BITS工作
在主机上建立镜像
反混淆/解码文件或信息
部署容器
直接访问卷
域策略修改 (2)
🔰
组策略修改
域信任修改
执行护栏 (1)
🔰
环境键控
绕过防御执行exp
文件和目录权限修改 (2)
🔰
Windows文件目录权限修改
Linux和Mac文件目录权限修改
隐藏文件 (7)
🔰
隐藏的文件和目录
隐藏的用户
隐藏的窗口
NTFS文件属性
隐藏文件系统
运行虚拟实例
VBA payloads
劫持执行流程 (11)
🔰
服务文件权限不足
可执行安装程序文件权限不足
服务注册中心权限不足
通过未引用路径截取路径
通过PATH环境变量进行路径拦截
通过搜索顺序劫持进行路径拦截
DLL搜索顺序劫持
DLL侧面加载
动态链接器劫持
Dylib劫持
COR_PROFILER
破坏防御机制 (7)
🔰
禁用或修改工具
禁用Windows事件记录
损害命令历史记录
禁用或修改系统防火墙
指标封锁
禁用或修改云防火墙
禁用云日志
主机上的指示灯卸下 (6)
🔰
清除Windows事件日志
清除Linux或Mac系统日志
清除命令历史记录
文件删除
网络共享连接删除
Timestomp
间接命令执行
伪装 (6)
🔰
无效的代码签名
从右到左的覆盖
重命名系统实用程序
伪装任务或服务
匹配合法名称或位置
文件名后加空格
修改身份验证过程 (4)
🔰
域控制器身份验证
密码过滤器DLL
可插拔认证模块
网络设备认证
修改云计算基础架构 (4)
🔰
创建快照
创建云实例
删除云实例
还原云实例
修改注册表
修改系统镜像 (2)
🔰
修补程序系统镜像
系统镜像降级
网络边界桥接 (1)
🔰
网络地址转换遍历
混淆的文件或信息 (5)
🔰
二进制填充
软件包装
隐写术
交付后编译
从工具上卸下指示器
操作系统前启动 (5)
🔰
系统固件
组件固件
引导套件
ROMMON工具包
TFTP引导
进程注入 (11)
🔰
动态链接库注入
便携式可执行注入
线程执行劫持
异步过程调用
线程本地存储
Ptrace系统调用
处理内存
额外Window内存注入
工艺流程
工艺空洞
VDSO劫持
流氓域控制器
Rootkit
签名的二进制代理执行 (11)
🔰
Rundll32
编译的HTML文件
控制面板
CMSTP
InstallUtil
Mshta
Regsvcs/Regasm
Regsvr32
Msiexec
Odbcconf
Verclsid
签名脚本代理执行 (1)
🔰
PubPrn
颠覆信任控制 (6)
🔰
Gatekeeper绕过
代码签名
SIP和信任提供者劫持
安装根证书
网络标记绕过
代码签名策略修改
模板注入
交通信号灯 (1)
🔰
端口探测
受信任开发人员的实用程序代理执行 (1)
🔰
MSBuild
未使用/不受支持的云区域
使用替代身份验证材料 (4)
🔰
通过Hash
通过Ticket
应用程序token
网页会话Cookie
有效帐户 (4)
🔰
默认账户
域账户
本地账户
云账户
虚拟机/沙盒逃逸 (3)
🔰
系统检查
基于用户活动的检查
基于时间的规避
弱加密 (2)
🔰
减少输入空间
禁用加密硬件
XSL处理脚本
暴力破解 (4)
🔰
密码猜测
密码破解
密码喷洒
凭证填充
来自密码存储区的凭证 (5)
🔰
钥匙链
安全存储器
来自网络浏览器的凭证
Windows凭据管理器
密码管理员
利用凭证访问
强制认证
伪造Web凭证 (2)
🔰
网络Cookie
SAML令牌
键盘记录 (4)
🔰
键盘记录
GUI输入捕捉
门户网站捕获
凭证API钩子
中间人 (2)
🔰
LLMNR / NBT-NS中毒和SMB中继
ARP缓存中毒
修改身份验证过程 (4)
🔰
域控制器身份验证
密码过滤器DLL
可插拔认证模块
网络设备认证
网络嗅探
操作系统凭证转储 (8)
🔰
LSASS存储器
安全帐户管理器
NTDS
DCSync
Proc文件系统
/etc/passwd和/etc/shadow
缓存的域凭证
LSA密码
窃取应用程序访问令牌
窃取或伪造Kerberos票证 (4)
🔰
金票
银票
Kerberos
AS-REP Roasting
窃取Web会话Cookie
双因素身份验证拦截
无抵押凭证 (7)
🔰
文件中的凭证
注册表中的凭证
Bash历史记录
私钥
云实例元数据API
组策略首选项
容器API
帐户发现 (4)
🔰
本地帐号
域帐号
电邮帐号
云帐户
windows应用程发现
浏览器书签发现
云基础架构发现
云服务仪表板
云服务发现
容器和资源发现
域信任发现
文件和目录发现
网络服务扫描
网络共享发现
网络嗅探
密码策略发现
外围设备发现
权限组发现 (3)
🔰
域组
云组
本地团体
进程发现
查询注册表
远程系统发现
软件发现 (1)
🔰
安全软件发现
系统信息发现
系统位置发现
系统网络配置发现 (1)
🔰
互联网连接发现
系统网络连接发现
系统所有者/用户发现
系统服务发现
系统时间发现
虚拟化/沙盒逃逸 (3)
🔰
系统检查
基于用户活动的检查
基于时间的规避
远程服务的利用
内部鱼叉
横向工具转移
远程服务会话劫持 (2)
🔰
SSH劫持
RDP劫持
远程服务 (6)
🔰
远程桌面协议
SMB / Windows管理员共享
分布式组件对象模型
SSH
VNC
Windows远程管理
通过可移动媒体复制
软件部署工具
感染共享内容
使用替代身份验证材料 (4)
🔰
通过哈希
通过票
应用程序Token
网络会话Cookie
存档收集的数据 (3)
🔰
通过实用程序存档
通过图书馆存档
通过自定义方法存档
音讯捕捉
自动收集
剪贴板数据
来自云存储对象的数据
来自配置库的数据 (2)
🔰
SNMP(MIB转储)
网络设备配置转储
信息存储库中的数据 (2)
🔰
Confluence
Sharepoint
来自本地系统的数据
来自网络共享驱动器的数据
来自可移动媒体的数据
数据暂存 (2)
🔰
本地数据分段
远程数据分段
邮件收集 (3)
🔰
本地电子邮件收集
远程电子邮件收集
电子邮件转发规则
输入捕捉 (4)
🔰
键盘记录
GUI输入捕捉
门户网站输入捕获
凭证API钩子
浏览器中的人
中间人 (2)
🔰
LLMNR / NBT-NS中毒和SMB中继
ARP缓存中毒
屏幕截图
视频截取
应用层协议 (4)
🔰
网络协议
文件传输协议
邮件协议
DNS
通过可移动媒体进行通信
数据编码 (2)
🔰
标准编码
非标准编码
数据混淆 (3)
🔰
垃圾数据
隐写术
协议模拟
动态分辨率 (3)
🔰
域生成算法
快速通量DNS
DNS计算
加密通道 (2)
🔰
对称密码学
非对称密码学
后备频道
入口工具转移
多阶段频道
非应用层协议
非标准端口
协议隧道
代理 (4)
🔰
内部代理
外部代理
多跳代理
域名前置
远程访问软件
交通信号灯 (1)
🔰
端口探测
网络服务 (3)
🔰
死角分解器
双向通讯
单向通信
自动渗透 (1)
🔰
流量复制
数据传输大小限制
通过替代协议渗透 (3)
🔰
通过对称加密的非C2协议进行渗透
通过非对称加密非C2协议进行渗透
通过未加密/混淆的非C2协议进行渗透
通过C2通道渗透
通过其他网络介质渗透 (1)
🔰
通过蓝牙渗透
物理介质上的渗出 (1)
🔰
通过USB渗透
通过Web服务进行渗透 (2)
🔰
渗入代码存储库
迁移到云存储
预定转帐
将数据转移到云帐户
帐户访问权限删除
数据销毁
加密数据以产生影响
数据处理 (3)
🔰
存储数据操作
传输数据操作
运行时数据处理
污损破坏 (2)
🔰
内部破坏
外部破坏
格盘 (2)
🔰
格盘
磁盘结构擦除
端点拒绝服务 (4)
🔰
操作系统耗竭泛滥攻击
服务枯竭洪水攻击
应用程序耗尽洪流攻击
应用程序或系统exp利用
固件损坏
禁止系统恢复
网络拒绝服务 (2)
🔰
直接网络泛洪攻击
反射放大攻击
资源劫持
服务停止
系统关机/重启
认出 资源开发 初始访问 执行 坚持不懈 特权提升 防御规避 凭证访问 发现 横向运动 收藏 命令与控制 渗出 影响
10种技巧 7种技巧 9种技巧 12种技巧 19种技巧 13种技巧 39种技巧 15种技巧 27种技巧 9种技巧 17种技巧 16 techniques 9 techniques 13 techniques
=
Active Scanning (2)
Scanning IP Blocks
Vulnerability Scanning
=
Gather Victim Host Information (4)
Hardware
Software
Firmware
Client Configurations
=
Gather Victim Identity Information (3)
Credentials
Email Addresses
Employee Names
=
Gather Victim Network Information (6)
Domain Properties
DNS
Network Trust Dependencies
Network Topology
IP Addresses
Network Security Appliances
=
Gather Victim Org Information (4)
Business Relationships
Determine Physical Locations
Identify Business Tempo
Identify Roles
=
Phishing for Information (3)
Spearphishing Service
Spearphishing Attachment
Spearphishing Link
=
Search Closed Sources (2)
Threat Intel Vendors
Purchase Technical Data
=
Search Open Technical Databases (5)
WHOIS
DNS/Passive DNS
Digital Certificates
CDNs
Scan Databases
=
Search Open Websites/Domains (2)
Social Media
Search Engines
Search Victim-Owned Websites
=
Acquire Infrastructure (6)
Domains
DNS Server
Virtual Private Server
Server
Botnet
Web Services
=
Compromise Accounts (2)
Social Media Accounts
Email Accounts
=
Compromise Infrastructure (6)
Domains
DNS Server
Virtual Private Server
Server
Botnet
Web Services
=
Develop Capabilities (4)
Malware
Code Signing Certificates
Digital Certificates
Exploits
=
Establish Accounts (2)
Social Media Accounts
Email Accounts
=
Obtain Capabilities (6)
Malware
Tool
Code Signing Certificates
Digital Certificates
Exploits
Vulnerabilities
=
Stage Capabilities (5)
Upload Malware
Upload Tool
Install Digital Certificate
Drive-by Target
Link Target
Drive-by Compromise
Exploit Public-Facing Application
External Remote Services
Hardware Additions
=
Phishing (3)
Spearphishing Attachment
Spearphishing Link
Spearphishing via Service
Replication Through Removable Media
=
Supply Chain Compromise (3)
Compromise Software Dependencies and Development Tools
Compromise Software Supply Chain
Compromise Hardware Supply Chain
Trusted Relationship
=
Valid Accounts (4)
Default Accounts
Domain Accounts
Local Accounts
Cloud Accounts
=
Command and Scripting Interpreter (8)
PowerShell
AppleScript
Windows Command Shell
Unix Shell
Visual Basic
Python
JavaScript
Network Device CLI
Container Administration Command
Deploy Container
Exploitation for Client Execution
=
Inter-Process Communication (2)
Component Object Model
Dynamic Data Exchange
Native API
=
Scheduled Task/Job (7)
At (Windows)
Scheduled Task
At (Linux)
Launchd
Cron
Systemd Timers
Container Orchestration Job
Shared Modules
Software Deployment Tools
=
System Services (2)
Launchctl
Service Execution
=
User Execution (3)
Malicious Link
Malicious File
Malicious Image
Windows Management Instrumentation
=
Account Manipulation (4)
Additional Cloud Credentials
Exchange Email Delegate Permissions
Add Office 365 Global Administrator Role
SSH Authorized Keys
BITS Jobs
=
Boot or Logon Autostart Execution (14)
Registry Run Keys / Startup Folder
Authentication Package
Time Providers
Winlogon Helper DLL
Security Support Provider
Kernel Modules and Extensions
Re-opened Applications
LSASS Driver
Shortcut Modification
Port Monitors
Plist Modification
Print Processors
XDG Autostart Entries
Active Setup
=
Boot or Logon Initialization Scripts (5)
Logon Script (Windows)
Logon Script (Mac)
Network Logon Script
RC Scripts
Startup Items
Browser Extensions
Compromise Client Software Binary
=
Create Account (3)
Local Account
Domain Account
Cloud Account
=
Create or Modify System Process (4)
Launch Agent
Systemd Service
Windows Service
Launch Daemon
=
Event Triggered Execution (15)
Change Default File Association
Screensaver
Windows Management Instrumentation Event Subscription
Unix Shell Configuration Modification
Trap
LC_LOAD_DYLIB Addition
Netsh Helper DLL
Accessibility Features
AppCert DLLs
AppInit DLLs
Application Shimming
Image File Execution Options Injection
PowerShell Profile
Emond
Component Object Model Hijacking
External Remote Services
=
Hijack Execution Flow (11)
Services File Permissions Weakness
Executable Installer File Permissions Weakness
Services Registry Permissions Weakness
Path Interception by Unquoted Path
Path Interception by PATH Environment Variable
Path Interception by Search Order Hijacking
DLL Search Order Hijacking
DLL Side-Loading
Dynamic Linker Hijacking
Dylib Hijacking
COR_PROFILER
Implant Internal Image
=
Modify Authentication Process (4)
Domain Controller Authentication
Password Filter DLL
Pluggable Authentication Modules
Network Device Authentication
=
Office Application Startup (6)
Add-ins
Office Template Macros
Outlook Forms
Outlook Rules
Outlook Home Page
Office Test
=
Pre-OS Boot (5)
System Firmware
Component Firmware
Bootkit
ROMMONkit
TFTP Boot
=
Scheduled Task/Job (7)
At (Windows)
Scheduled Task
At (Linux)
Launchd
Cron
Systemd Timers
Container Orchestration Job
=
Server Software Component (3)
SQL Stored Procedures
Transport Agent
Web Shell
=
Traffic Signaling (1)
Port Knocking
=
Valid Accounts (4)
Default Accounts
Domain Accounts
Local Accounts
Cloud Accounts
=
Abuse Elevation Control Mechanism (4)
Setuid and Setgid
Bypass User Account Control
Sudo and Sudo Caching
Elevated Execution with Prompt
=
Access Token Manipulation (5)
Token Impersonation/Theft
Create Process with Token
Make and Impersonate Token
Parent PID Spoofing
SID-History Injection
=
Boot or Logon Autostart Execution (14)
Registry Run Keys / Startup Folder
Authentication Package
Time Providers
Winlogon Helper DLL
Security Support Provider
Kernel Modules and Extensions
Re-opened Applications
LSASS Driver
Shortcut Modification
Port Monitors
Plist Modification
Print Processors
XDG Autostart Entries
Active Setup
=
Boot or Logon Initialization Scripts (5)
Logon Script (Windows)
Logon Script (Mac)
Network Logon Script
RC Scripts
Startup Items
=
Create or Modify System Process (4)
Launch Agent
Systemd Service
Windows Service
Launch Daemon
=
Domain Policy Modification (2)
Group Policy Modification
Domain Trust Modification
Escape to Host
=
Event Triggered Execution (15)
Change Default File Association
Screensaver
Windows Management Instrumentation Event Subscription
Unix Shell Configuration Modification
Trap
LC_LOAD_DYLIB Addition
Netsh Helper DLL
Accessibility Features
AppCert DLLs
AppInit DLLs
Application Shimming
Image File Execution Options Injection
PowerShell Profile
Emond
Component Object Model Hijacking
Exploitation for Privilege Escalation
=
Hijack Execution Flow (11)
Services File Permissions Weakness
Executable Installer File Permissions Weakness
Services Registry Permissions Weakness
Path Interception by Unquoted Path
Path Interception by PATH Environment Variable
Path Interception by Search Order Hijacking
DLL Search Order Hijacking
DLL Side-Loading
Dynamic Linker Hijacking
Dylib Hijacking
COR_PROFILER
=
Process Injection (11)
动态链接库注入
便携式可执行注入
线程执行劫持
异步过程调用
线程本地存储
Ptrace系统调用
处理内存
额外Window内存注入
工艺流程
工艺空洞
VDSO劫持
=
Scheduled Task/Job (7)
At (Windows)
Scheduled Task
At (Linux)
Launchd
Cron
Systemd Timers
Container Orchestration Job
=
Valid Accounts (4)
Default Accounts
Domain Accounts
Local Accounts
Cloud Accounts
=
Abuse Elevation Control Mechanism (4)
Setuid and Setgid
Bypass User Account Control
Sudo and Sudo Caching
Elevated Execution with Prompt
=
Access Token Manipulation (5)
Token Impersonation/Theft
Create Process with Token
Make and Impersonate Token
Parent PID Spoofing
SID-History Injection
BITS Jobs
Build Image on Host
Deobfuscate/Decode Files or Information
Deploy Container
Direct Volume Access
=
Domain Policy Modification (2)
Group Policy Modification
Domain Trust Modification
=
Execution Guardrails (1)
Environmental Keying
Exploitation for Defense Evasion
=
File and Directory Permissions Modification (2)
Windows File and Directory Permissions Modification
Linux and Mac File and Directory Permissions Modification
=
Hide Artifacts (7)
Hidden Files and Directories
Hidden Users
Hidden Window
NTFS File Attributes
Hidden File System
Run Virtual Instance
VBA Stomping
=
Hijack Execution Flow (11)
Services File Permissions Weakness
Executable Installer File Permissions Weakness
Services Registry Permissions Weakness
Path Interception by Unquoted Path
Path Interception by PATH Environment Variable
Path Interception by Search Order Hijacking
DLL Search Order Hijacking
DLL Side-Loading
Dynamic Linker Hijacking
Dylib Hijacking
COR_PROFILER
=
Impair Defenses (7)
Disable or Modify Tools
Disable Windows Event Logging
Impair Command History Logging
Disable or Modify System Firewall
Indicator Blocking
Disable or Modify Cloud Firewall
Disable Cloud Logs
=
Indicator Removal on Host (6)
Clear Windows Event Logs
Clear Linux or Mac System Logs
Clear Command History
File Deletion
Network Share Connection Removal
Timestomp
Indirect Command Execution
=
Masquerading (6)
Invalid Code Signature
Right-to-Left Override
Rename System Utilities
Masquerade Task or Service
Match Legitimate Name or Location
Space after Filename
=
Modify Authentication Process (4)
Domain Controller Authentication
Password Filter DLL
Pluggable Authentication Modules
Network Device Authentication
=
Modify Cloud Compute Infrastructure (4)
Create Snapshot
Create Cloud Instance
Delete Cloud Instance
Revert Cloud Instance
Modify Registry
=
Modify System Image (2)
Patch System Image
Downgrade System Image
=
Network Boundary Bridging (1)
Network Address Translation Traversal
=
Obfuscated Files or Information (5)
Binary Padding
Software Packing
Steganography
Compile After Delivery
Indicator Removal from Tools
=
Pre-OS Boot (5)
System Firmware
Component Firmware
Bootkit
ROMMONkit
TFTP Boot
=
Process Injection (11)
动态链接库注入
便携式可执行注入
线程执行劫持
异步过程调用
线程本地存储
Ptrace系统调用
处理内存
额外Window内存注入
工艺流程
工艺空洞
VDSO劫持
Rogue Domain Controller
Rootkit
=
Signed Binary Proxy Execution (11)
Rundll32
Compiled HTML File
Control Panel
CMSTP
InstallUtil
Mshta
Regsvcs/Regasm
Regsvr32
Msiexec
Odbcconf
Verclsid
=
Signed Script Proxy Execution (1)
PubPrn
=
Subvert Trust Controls (6)
Gatekeeper Bypass
Code Signing
SIP and Trust Provider Hijacking
Install Root Certificate
Mark-of-the-Web Bypass
Code Signing Policy Modification
Template Injection
=
Traffic Signaling (1)
Port Knocking
=
Trusted Developer Utilities Proxy Execution (1)
MSBuild
Unused/Unsupported Cloud Regions
=
Use Alternate Authentication Material (4)
Pass the Hash
Pass the Ticket
Application Access Token
Web Session Cookie
=
Valid Accounts (4)
Default Accounts
Domain Accounts
Local Accounts
Cloud Accounts
=
Virtualization/Sandbox Evasion (3)
System Checks
User Activity Based Checks
Time Based Evasion
=
Weaken Encryption (2)
Reduce Key Space
Disable Crypto Hardware
XSL Script Processing
=
Brute Force (4)
Password Guessing
Password Cracking
Password Spraying
Credential Stuffing
=
Credentials from Password Stores (5)
Keychain
Securityd Memory
Credentials from Web Browsers
Windows Credential Manager
Password Managers
Exploitation for Credential Access
Forced Authentication
=
Forge Web Credentials (2)
Web Cookies
SAML Tokens
=
Input Capture (4)
Keylogging
GUI Input Capture
Web Portal Capture
Credential API Hooking
=
Man-in-the-Middle (2)
LLMNR/NBT-NS Poisoning and SMB Relay
ARP Cache Poisoning
=
Modify Authentication Process (4)
Domain Controller Authentication
Password Filter DLL
Pluggable Authentication Modules
Network Device Authentication
Network Sniffing
=
OS Credential Dumping (8)
LSASS Memory
Security Account Manager
NTDS
DCSync
Proc Filesystem
/etc/passwd and /etc/shadow
Cached Domain Credentials
LSA Secrets
Steal Application Access Token
=
Steal or Forge Kerberos Tickets (4)
Golden Ticket
Silver Ticket
Kerberoasting
AS-REP Roasting
Steal Web Session Cookie
Two-Factor Authentication Interception
=
Unsecured Credentials (7)
Credentials In Files
Credentials in Registry
Bash History
Private Keys
Cloud Instance Metadata API
Group Policy Preferences
Container API
=
Account Discovery (4)
Local Account
Domain Account
Email Account
Cloud Account
Application Window Discovery
Browser Bookmark Discovery
Cloud Infrastructure Discovery
Cloud Service Dashboard
Cloud Service Discovery
Container and Resource Discovery
Domain Trust Discovery
File and Directory Discovery
Network Service Scanning
Network Share Discovery
Network Sniffing
Password Policy Discovery
Peripheral Device Discovery
=
Permission Groups Discovery (3)
Domain Groups
Cloud Groups
Local Groups
Process Discovery
Query Registry
Remote System Discovery
=
Software Discovery (1)
Security Software Discovery
System Information Discovery
System Location Discovery
=
System Network Configuration Discovery (1)
Internet Connection Discovery
System Network Connections Discovery
System Owner/User Discovery
System Service Discovery
System Time Discovery
=
Virtualization/Sandbox Evasion (3)
System Checks
User Activity Based Checks
Time Based Evasion
Exploitation of Remote Services
Internal Spearphishing
Lateral Tool Transfer
=
Remote Service Session Hijacking (2)
SSH Hijacking
RDP Hijacking
=
Remote Services (6)
Remote Desktop Protocol
SMB/Windows Admin Shares
Distributed Component Object Model
SSH
VNC
Windows Remote Management
Replication Through Removable Media
Software Deployment Tools
Taint Shared Content
=
Use Alternate Authentication Material (4)
Pass the Hash
Pass the Ticket
Application Access Token
Web Session Cookie
=
Archive Collected Data (3)
Archive via Utility
Archive via Library
Archive via Custom Method
Audio Capture
Automated Collection
Clipboard Data
Data from Cloud Storage Object
=
Data from Configuration Repository (2)
SNMP (MIB Dump)
Network Device Configuration Dump
=
Data from Information Repositories (2)
Confluence
Sharepoint
Data from Local System
Data from Network Shared Drive
Data from Removable Media
=
Data Staged (2)
Local Data Staging
Remote Data Staging
=
Email Collection (3)
Local Email Collection
Remote Email Collection
Email Forwarding Rule
=
Input Capture (4)
Keylogging
GUI Input Capture
Web Portal Capture
Credential API Hooking
Man in the Browser
=
Man-in-the-Middle (2)
LLMNR/NBT-NS Poisoning and SMB Relay
ARP Cache Poisoning
Screen Capture
Video Capture
=
Application Layer Protocol (4)
网络协议
文件传输协议
邮件协议
DNS
Communication Through Removable Media
=
Data Encoding (2)
Standard Encoding
Non-Standard Encoding
=
Data Obfuscation (3)
Junk Data
Steganography
Protocol Impersonation
=
Dynamic Resolution (3)
Domain Generation Algorithms
Fast Flux DNS
DNS Calculation
=
Encrypted Channel (2)
Symmetric Cryptography
Asymmetric Cryptography
Fallback Channels
Ingress Tool Transfer
Multi-Stage Channels
Non-Application Layer Protocol
Non-Standard Port
Protocol Tunneling
=
Proxy (4)
Internal Proxy
External Proxy
Multi-hop Proxy
Domain Fronting
Remote Access Software
=
Traffic Signaling (1)
Port Knocking
=
Web Service (3)
Dead Drop Resolver
Bidirectional Communication
One-Way Communication
=
Automated Exfiltration (1)
Traffic Duplication
Data Transfer Size Limits
=
Exfiltration Over Alternative Protocol (3)
Exfiltration Over Symmetric Encrypted Non-C2 Protocol
Exfiltration Over Asymmetric Encrypted Non-C2 Protocol
Exfiltration Over Unencrypted/Obfuscated Non-C2 Protocol
Exfiltration Over C2 Channel
=
Exfiltration Over Other Network Medium (1)
Exfiltration Over Bluetooth
=
Exfiltration Over Physical Medium (1)
Exfiltration over USB
=
Exfiltration Over Web Service (2)
Exfiltration to Code Repository
Exfiltration to Cloud Storage
Scheduled Transfer
Transfer Data to Cloud Account
Account Access Removal
Data Destruction
Data Encrypted for Impact
=
Data Manipulation (3)
Stored Data Manipulation
Transmitted Data Manipulation
Runtime Data Manipulation
=
Defacement (2)
Internal Defacement
External Defacement
=
Disk Wipe (2)
Disk Content Wipe
Disk Structure Wipe
=
Endpoint Denial of Service (4)
OS Exhaustion Flood
Service Exhaustion Flood
Application Exhaustion Flood
Application or System Exploitation
Firmware Corruption
Inhibit System Recovery
=
Network Denial of Service (2)
Direct Network Flood
Reflection Amplification
Resource Hijacking
Service Stop
System Shutdown/Reboot