2025 最新版 ATT&CK 中文版 v16.1

侦察	资源开发	初始访问	执行	持久性	权限提升	防御逃避	凭证访问	发现	横向移动	收集	指挥与控制	数据外传	影响
收集受害者主机信息	获取基础设施	外部远程服务	计划任务	计划任务	额外窗口内存注入	额外窗口内存注入	中间人攻击	系统所有者/用户发现	VNC	通过实用程序归档	套接字过滤器	通过Web服务外泄	磁盘结构擦除
数字证书	无服务器	妥协软件依赖项和开发工具	Windows管理规范	套接字过滤器	计划任务	套接字过滤器	可插拔认证模块	容器和资源发现	污染共享内容	屏幕捕获	标准编码	通过 Webhook 外传	直接网络洪流
购买技术数据	人工智能	鱼叉式网络钓鱼链接	共享模块	启动或登录初始化脚本	启动或登录初始化脚本	无文件存储	键盘记录	互联网连接发现	SSH	中间人攻击	域名生成算法	计划传输	外部篡改
IP地址	网络设备	鱼叉式网络钓鱼附件	JavaScript	可插拔认证模块	通过PATH环境变量进行路径拦截	Rundll32	密码猜测	权限组发现	通过可移动媒体复制	键盘记录	DNS	通过其他网络介质外传	操作系统耗尽洪流
DNS	恶意广告	妥协硬件供应链	容器编排任务	通过PATH环境变量进行路径拦截	PowerShell 配置文件	嵌入式有效负载	操作系统凭证转储	云组	直接云虚拟机连接	来自配置库的数据	发布/订阅协议	通过蓝牙外传	生命周期触发删除
WHOIS	数字证书	通过可移动媒体复制	动态数据交换	PowerShell 配置文件	创建或修改系统进程	可插拔认证模块	窃取 Web 会话 Cookie	组策略发现	SSH劫持	Sharepoint	对称加密	自动化数据外传	短信泵送
搜索受害者拥有的网站	DNS 服务器	供应链妥协	恶意文件	创建或修改系统进程	LC_LOAD_DYLIB 添加	还原云实例	安全帐户管理器	设备驱动程序发现	SMB/Windows管理员共享	音频捕获	快速变换DNS	通过对称加密的非C2协议外传	应用程序耗尽洪流
DNS/被动 DNS	数字证书	利用面向公众的应用程序	Cron	外部远程服务	容器编排任务	文件/路径排除	云实例元数据 API	域账户	使用替代身份验证材料	通过自定义方法归档	应用层协议	流量复制	磁盘擦除
识别业务节奏	恶意软件	内容注入	组件对象模型	LC_LOAD_DYLIB 添加	绕过用户帐户控制	Linux 和 Mac 文件和目录权限修改	Securityd 内存	本地账户	远程服务	电子邮件收集	远程访问软件	外传到代码库	存储数据操纵
硬件	社交媒体账户	默认帐户	计划任务/作业	容器编排任务	Sudo 和 Sudo 缓存	PubPrn	密码破解	系统检查	远程服务会话劫持	来自可移动媒体的数据	内容注入	通过非C2协议的非对称加密外传	服务停止
鱼叉式网络钓鱼链接	漏洞	信任关系	AppleScript	系统固件	服务注册表权限弱点	通过PATH环境变量进行路径拦截	钥匙串	域组	Windows 远程管理	本地数据暂存	流量信号	通过C2通道外传	应用程序或系统利用
网络拓扑	僵尸网络	网络钓鱼	本机 API	服务注册表权限弱点	启动或登录自动启动执行	直接卷访问	LSA秘密	系统服务发现	分布式组件对象模型	本地电子邮件收集	协议隧道	通过替代协议外传	运行时数据操纵
网络信任依赖	驱动目标	有效账户	AutoHotKey 和 AutoIT	引导工具包	活动设置	修改云资源层次结构	SAML令牌	网络嗅探	传递票证	自动化收集	邮件协议	通过USB外传	反射放大
威胁情报供应商	代码签名证书	语音鱼叉式网络钓鱼	云API	启动或登录自动启动执行	信任修改	电子邮件隐藏规则	Proc文件系统	网络共享发现	云服务	剪贴板数据	通过可移动媒体通信	外传到文本存储站点	服务耗尽洪水
收集受害者身份信息	虚拟专用服务器	妥协软件供应链	部署容器	活动设置	Windows 服务	加密/编码文件	密码管理器	外围设备发现	软件部署工具	来自云存储的数据	外部代理	外传到云存储	篡改
漏洞扫描	云账户	域账户	命令和脚本解释器	TFTP 启动	Cron	Rootkit	网络嗅探	系统信息发现	远程服务利用	远程数据暂存	代理	数据传输大小限制	带宽劫持
搜索开放技术数据库	电子邮件账户	硬件添加	容器管理命令	Windows 服务	附加云角色	双重文件扩展名	注册表中的凭据	Wi-Fi 发现	内部鱼叉式网络钓鱼	来自本地系统的数据	动态解析	将数据传输到云账户	金融盗窃
主动扫描	上传恶意软件	驱动式妥协	Launchctl	Cron	打印处理器	绕过用户帐户控制	密码过滤器 DLL	应用程序窗口发现	横向工具传输	通过库归档	Web 服务	通过物理介质外泄	内部篡改
电子邮件地址	域名	云账户	网络设备 CLI	Office 应用程序启动	DLL 搜索顺序劫持	Sudo 和 Sudo 缓存	Ccache 文件	电子邮件账户	Web会话Cookie	恶意双胞胎	DNS 计算	通过未加密的非C2协议外泄	云服务劫持
语音鱼叉式网络钓鱼	上传工具	通过服务的鱼叉式网络钓鱼	XPC 服务	附加云角色	AppDomainManager	修改云计算基础设施	AS-REP 烘焙	基于时间的规避	RDP劫持	网络设备配置转储	多阶段通道		计算劫持
网络安全设备	服务器	本地账户	用户执行	打印处理器	附加容器集群角色	系统固件	窃取或伪造Kerberos票证	云基础设施发现	哈希传递	归档收集的数据	端口敲击		数据操纵
搜索引擎	电子邮件账户		软件部署工具	DLL 搜索顺序劫持	计划任务/作业	服务注册表权限弱点	从密码存储中获取凭据	浏览器信息发现	远程桌面协议	浏览器会话劫持	文件传输协议		账户访问移除
业务关系	恶意软件		PowerShell	加载项	附加本地或域组	引导工具包	不安全的凭据	系统网络配置发现	应用程序访问令牌	DHCP 欺骗	单向通信		数据加密以产生影响
代码库	虚拟专用服务器		Systemd计时器	传输代理	线程执行劫持	Mavinject	恶意双胞胎	账户发现		LLMNR/NBT-NS 中毒和 SMB 中继	多跳代理		端点拒绝服务
员工姓名	妥协基础设施		Unix Shell	AppDomainManager	应用程序填充	匹配合法名称或位置	混合身份	域信任发现		Web 门户捕获	数据混淆		资源劫持
客户端配置	妥协账户		进程间通信	附加容器集群角色	端口监视器	削弱加密	来自Web浏览器的凭据	文件和目录发现		视频捕获	非标准端口		传输数据篡改
鱼叉式网络钓鱼附件	僵尸网络		Lua	计划任务/作业	登录钩子	伪装文件类型	DHCP 欺骗	系统网络连接发现		Confluence	加密通道		数据销毁
内容分发网络	阶段能力		恶意镜像	密码过滤器 DLL	进程注入	隐藏工件	私钥	虚拟化/沙箱规避		电子邮件转发规则	双向通信		网络拒绝服务
收集受害者组织信息	链接目标		客户端执行漏洞利用	终端服务 DLL	逃逸到主机	信任修改	LLMNR/NBT-NS 中毒和 SMB 中继	云存储对象发现		数据分阶段	非对称加密		固件损坏
收集受害者网络信息	Web 服务		Python	浏览器扩展	快捷方式修改	安全模式启动	LSASS 内存	日志枚举		GUI输入捕获	非应用层协议		抑制系统恢复
搜索开放网站/域	云账户		系统服务	Outlook规则	安全支持提供者	TFTP 启动	密码喷射	云账户		来自网络共享驱动器的数据	协议或服务冒充		磁盘内容擦除
搜索封闭来源	工具		Windows 命令行	附加本地或域组	启动守护程序	系统检查	Web 门户捕获	进程发现		远程电子邮件收集	域前置		系统关闭/重启
固件	Web 服务		云管理命令	应用程序填充	通过搜索顺序劫持进行路径拦截	清除Linux或Mac系统日志	缓存的域凭据	基于用户活动的检查		输入捕获	数据编码
软件	社交媒体账户		Visual Basic	端口监视器	组策略修改	InstallUtil	黄金票证	本地组		客户关系管理软件	非标准编码
社交媒体	漏洞利用		无服务器执行	登录钩子	默认帐户	剥离有效负载	窃取或伪造身份验证证书	密码策略发现		ARP 缓存中毒	Web协议
凭证	安装数字证书		恶意链接	流量信号	时间提供者	DLL 搜索顺序劫持	Bash 历史记录	系统语言发现		代码库	入口工具传输
字典扫描	DNS 服务器		服务执行	快捷方式修改	陷阱	Gatekeeper绕过	文件中的凭据	查询注册表		来自信息库的数据	隐藏基础设施
识别角色	建立账户		At	植入内部镜像	动态链接器劫持	代码签名	Web Cookies	系统位置发现		SNMP（MIB转储）	隐写术
钓鱼获取信息	获取能力			安全支持提供者	滥用提升控制机制	打破进程树	窃取应用程序访问令牌	安全软件发现		凭据API挂钩	备用通道
扫描IP块	获取访问权限			混合身份	使用令牌创建进程	Windows 文件和目录权限修改	组策略首选项	云服务发现		消息应用程序	内部代理
域属性	无服务器			启动守护程序	Setuid 和 Setgid	AppDomainManager	网络提供程序 DLL	远程系统发现			死信投递解析器
扫描数据库	服务器			通过搜索顺序劫持进行路径拦截	Winlogon 助手 DLL	Msiexec	伪造Web凭证	网络服务发现			垃圾数据
确定物理位置	SEO投毒			Web Shell	SSH 授权密钥	密码过滤器 DLL	多因素认证请求生成	软件发现
通过服务的鱼叉式网络钓鱼	代码签名证书			默认帐户	图像文件执行选项注入	清除网络连接历史和配置	聊天消息	云服务仪表板
	开发能力			时间提供者	临时提升的云访问	减少密钥空间	利用漏洞获取凭证	调试器规避
	漏洞利用			陷阱	进程双重映射	清除命令历史	GUI输入捕获	系统时间发现
	域名			动态链接器劫持	可执行安装文件权限弱点	间接命令执行	暴力破解
				本地账户	辅助功能	反混淆/解码文件或信息	凭证填充
				Winlogon 助手 DLL	异步过程调用	削弱防御	多因素认证
				SSH 授权密钥	AppCert DLLs	线程执行劫持	强制身份验证
				图像文件执行选项注入	设备注册	伪装	输入捕获
				可执行安装文件权限弱点	可移植可执行文件注入	清除邮箱数据	ARP 缓存中毒
				辅助功能	登录项	进程注入	条件访问策略
				域账户	令牌模拟/盗用	流量信号	云秘密管理存储
				组件固件	额外的云凭据	系统二进制代理执行	/etc/passwd 和 /etc/shadow
				Office模板宏	创建和模拟令牌	时间戳篡改	银票
				AppCert DLLs	Windows 管理规范事件订阅	反射代码加载	Windows 凭据管理器
				设备注册	父PID欺骗	互斥	域控制器认证
				操作系统启动前	更改默认文件关联	忽略进程中断	可逆加密
				登录项	VDSO劫持	基于时间的规避	多因素认证拦截
				端口敲击	Emond	CMSTP	NTDS
				额外的云凭据	服务文件权限弱点	禁用Windows事件日志记录	Kerberoasting
				网络提供程序 DLL	注册表运行键/启动文件夹	控制面板	DCSync
				Windows 管理规范事件订阅	账户操纵	网络地址转换遍历	修改认证过程
				妥协主机软件二进制文件	内核模块和扩展	使用替代身份验证材料	凭据API挂钩
				更改默认文件关联	KernelCallbackTable	禁用或修改系统防火墙	容器API
				Emond	Systemd计时器	SIP和信任提供者劫持	网络设备认证
				服务文件权限弱点	劫持执行流	混合身份
				注册表运行键/启动文件夹	容器服务	Electron应用程序
				云账户	有效账户	禁用或修改Linux审计系统
				账户操纵	进程空洞化	恶意域控制器
				内核模块和扩展	利用权限提升	代码签名策略修改
				KernelCallbackTable	事件触发执行	部署容器
				Systemd计时器	Unix Shell 配置修改	修改注册表
				ROMMONkit	SID 历史注入	通过搜索顺序劫持进行路径拦截
				Outlook表单	带提示的提升执行	未使用/不支持的云区域
				劫持执行流	认证包	二进制填充
				容器服务	组件对象模型劫持	组策略修改
				有效账户	通过未加引号的路径进行路径拦截	默认帐户
				多因素认证	启动项	动态链接器劫持
				IIS 组件	域账户	清除 Windows 事件日志
				事件触发执行	网络登录脚本	文件和目录权限修改
				Unix Shell 配置修改	AppInit DLLs	滥用提升控制机制
				认证包	屏幕保护程序	使用令牌创建进程
				组件对象模型劫持	启动代理	Setuid 和 Setgid
				Outlook主页	进程内存	Odbcconf
				通过未加引号的路径进行路径拦截	安装包	临时提升的云访问
				启动项	RC脚本	进程双重映射
				域账户	访问令牌操纵	删除云实例
				网络登录脚本	Systemd服务	可执行安装文件权限弱点
				BITS 任务	XDG自动启动条目	指标阻断
				AppInit DLLs	线程本地存储	禁用或修改云防火墙
				屏幕保护程序	重新打开的应用程序	右到左覆盖
				条件访问策略	DLL侧加载	组件固件
				启动代理	额外的电子邮件委托权限	指标移除
				服务器软件组件	TCC操纵	传递票证
				域控制器认证	Ptrace系统调用	伪装任务或服务
				可逆加密	登录脚本（Windows）	异步过程调用
				安装包	列表植入	Plist 文件修改
				RC脚本	域或租户策略修改	绕过网页标记
				Systemd服务	LSASS驱动程序	禁用加密硬件
				创建账户	云账户	操作系统启动前
				XDG自动启动条目	At	在主机上构建镜像
				重新打开的应用程序	动态链接库注入	可移植可执行文件注入
				DLL侧加载	Udev规则	Verclsid
				额外的电子邮件委托权限	Netsh Helper DLL	降级攻击
				电源设置	Dylib劫持	虚拟化/沙箱规避
				登录脚本（Windows）	本地账户	Mshta
				Office测试	COR_PROFILER	执行护栏
				LSASS驱动程序		令牌模拟/盗用
				云账户		端口敲击
				At		LNK 图标走私
				修改认证过程		隐藏用户
				Udev规则		创建和模拟令牌
				Netsh Helper DLL		削弱命令历史记录日志
				SQL存储过程		网络提供程序 DLL
				网络设备认证		基于用户活动的检查
				Dylib劫持		父PID欺骗
				本地账户		VDSO劫持
				COR_PROFILER		服务文件权限弱点
						KernelCallbackTable
						ROMMONkit
						编译HTML文件
						删除网络共享连接
						禁用或修改工具
						修改系统映像
						劫持执行流
						从工具中删除指标
						有效账户
						进程空洞化
						资源分叉
						混淆的文件或信息
						多因素认证
						无效代码签名
						运行虚拟实例
						多态代码
						SID 历史注入
						网络边界桥接
						颠覆信任控制
						带提示的提升执行
						Regsvr32
						重命名系统实用程序
						伪造安全警报
						通过未加引号的路径进行路径拦截
						隐写术
						Web会话Cookie
						域账户
						Regsvcs/Regasm
						安装根证书
						交付后编译
						VBA Stomping
						BITS 任务
						MSBuild
						冒充
						修改云计算配置
						禁用或修改云日志
						隐藏窗口
						ClickOnce
						重新定位恶意软件
						条件访问策略
						创建云实例
						进程内存
						修补系统镜像
						清除持久性
						伪装账户名称
						域控制器认证
						HTML 走私
						可逆加密
						命令混淆
						文件删除
						模板注入
						访问令牌操纵
						软件打包
						隐藏文件系统
						线程本地存储
						调试器规避
						文件名后的空格
						哈希传递
						DLL侧加载
						SyncAppvPublishingServer
						TCC操纵
						Ptrace系统调用
						动态API解析
						列表植入
						域或租户策略修改
						XSL脚本处理
						隐藏文件和目录
						创建快照
						应用程序访问令牌
						云账户
						环境密钥
						NTFS文件属性
						动态链接库注入
						修改认证过程
						系统脚本代理执行
						网络设备认证
						Dylib劫持
						降级系统镜像
						本地账户
						利用漏洞进行防御规避
						受信任的开发者工具代理执行
						MMC
						进程参数欺骗
						COR_PROFILER