跳转至
ATT&CK 中文版
数据传输大小限制
正在初始化搜索引擎
ATT&CK 中文版
关于
Enterprise
Enterprise attack 16.1
ATT&CK 中文版
ATT&CK 中文版
关于
Enterprise
Enterprise
Tactics
Tactics
Collection
Collection
CommandandControl
CommandandControl
CredentialAccess
CredentialAccess
DefenseEvasion
DefenseEvasion
Discovery
Discovery
Execution
Execution
Exfiltration
Exfiltration
Impact
Impact
InitialAccess
InitialAccess
LateralMovement
LateralMovement
Persistence
Persistence
PrivilegeEscalation
PrivilegeEscalation
Reconnaissance
Reconnaissance
ResourceDevelopment
ResourceDevelopment
Enterprise attack 16.1
Enterprise attack 16.1
Tactics
Tactics
收集
指挥与控制
凭证访问
防御逃避
发现
执行
数据外传
影响
初始访问
横向移动
持久性
权限提升
侦察
资源开发
Techniques
Techniques
垃圾数据
隐写术
协议或服务冒充
数据混淆
LSASS 内存
安全帐户管理器
NTDS
LSA秘密
缓存的域凭据
DCSync
Proc文件系统
/etc/passwd 和 /etc/shadow
操作系统凭证转储
来自本地系统的数据
直接卷访问
系统服务发现
备用通道
应用程序窗口发现
通过蓝牙外传
通过其他网络介质外传
查询注册表
Rootkit
互联网连接发现
Wi-Fi 发现
系统网络配置发现
远程系统发现
流量复制
自动化数据外传
远程桌面协议
SMB/Windows管理员共享
分布式组件对象模型
SSH
VNC
Windows 远程管理
云服务
直接云虚拟机连接
远程服务
来自可移动媒体的数据
二进制填充
软件打包
隐写术
交付后编译
从工具中删除指标
HTML 走私
动态API解析
剥离有效负载
嵌入式有效负载
命令混淆
无文件存储
LNK 图标走私
加密/编码文件
多态代码
混淆的文件或信息
计划传输
数据传输大小限制
系统所有者/用户发现
无效代码签名
右到左覆盖
重命名系统实用程序
伪装任务或服务
匹配合法名称或位置
文件名后的空格
双重文件扩展名
伪装文件类型
打破进程树
伪装账户名称
伪装
登录脚本(Windows)
登录钩子
网络登录脚本
RC脚本
启动项
启动或登录初始化脚本
来自网络共享驱动器的数据
网络嗅探
通过C2通道外传
网络服务发现
Windows管理规范
通过对称加密的非C2协议外传
通过非C2协议的非对称加密外传
通过未加密的非C2协议外泄
通过替代协议外传
系统网络连接发现
通过USB外传
通过物理介质外泄
At
Cron
计划任务
Systemd计时器
容器编排任务
计划任务/作业
动态链接库注入
可移植可执行文件注入
线程执行劫持
异步过程调用
线程本地存储
Ptrace系统调用
进程内存
额外窗口内存注入
进程空洞化
进程双重映射
VDSO劫持
列表植入
进程注入
键盘记录
GUI输入捕获
Web 门户捕获
凭据API挂钩
输入捕获
进程发现
PowerShell
AppleScript
Windows 命令行
Unix Shell
Visual Basic
Python
JavaScript
网络设备 CLI
云API
AutoHotKey 和 AutoIT
Lua
命令和脚本解释器
利用权限提升
本地组
域组
云组
权限组发现
清除 Windows 事件日志
清除Linux或Mac系统日志
清除命令历史
文件删除
删除网络共享连接
时间戳篡改
清除网络连接历史和配置
清除邮箱数据
清除持久性
重新定位恶意软件
指标移除
Web协议
文件传输协议
邮件协议
DNS
发布/订阅协议
应用层协议
软件部署工具
本地数据暂存
远程数据暂存
数据分阶段
默认帐户
域账户
本地账户
云账户
有效账户
污染共享内容
系统信息发现
文件和目录发现
本地账户
域账户
电子邮件账户
云账户
账户发现
内部代理
外部代理
多跳代理
域前置
代理
通过可移动媒体复制
通过可移动媒体通信
非应用层协议
额外的云凭据
额外的电子邮件委托权限
附加云角色
SSH 授权密钥
设备注册
附加容器集群角色
附加本地或域组
账户操纵
死信投递解析器
双向通信
单向通信
Web 服务
多阶段通道
入口工具传输
本机 API
密码猜测
密码破解
密码喷射
凭证填充
暴力破解
多因素认证拦截
修改注册表
屏幕捕获
本地电子邮件收集
远程电子邮件收集
电子邮件转发规则
电子邮件收集
剪贴板数据
自动化收集
外围设备发现
音频捕获
系统时间发现
视频捕获
MSBuild
ClickOnce
受信任的开发者工具代理执行
共享模块
标准编码
非标准编码
数据编码
外部远程服务
令牌模拟/盗用
使用令牌创建进程
创建和模拟令牌
父PID欺骗
SID 历史注入
访问令牌操纵
网络共享发现
本地账户
域账户
云账户
创建账户
Office模板宏
Office测试
Outlook表单
Outlook主页
Outlook规则
加载项
Office 应用程序启动
反混淆/解码文件或信息
浏览器扩展
浏览器会话劫持
强制身份验证
驱动式妥协
利用面向公众的应用程序
妥协软件依赖项和开发工具
妥协软件供应链
妥协硬件供应链
供应链妥协
BITS 任务
信任关系
硬件添加
密码策略发现
间接命令执行
客户端执行漏洞利用
恶意链接
恶意文件
恶意镜像
用户执行
端口敲击
套接字过滤器
流量信号
恶意域控制器
远程服务利用
利用漏洞进行防御规避
利用漏洞获取凭证
Confluence
Sharepoint
代码库
客户关系管理软件
消息应用程序
来自信息库的数据
PubPrn
SyncAppvPublishingServer
系统脚本代理执行
浏览器信息发现
编译HTML文件
控制面板
CMSTP
InstallUtil
Mshta
Msiexec
Odbcconf
Regsvcs/Regasm
Regsvr32
Rundll32
Verclsid
Mavinject
MMC
Electron应用程序
系统二进制代理执行
远程访问软件
XSL脚本处理
模板注入
Windows 文件和目录权限修改
Linux 和 Mac 文件和目录权限修改
文件和目录权限修改
环境密钥
互斥
执行护栏
域信任发现
组策略修改
信任修改
域或租户策略修改
生命周期触发删除
数据销毁
数据加密以产生影响
服务停止
抑制系统恢复
内部篡改
外部篡改
篡改
固件损坏
计算劫持
带宽劫持
短信泵送
云服务劫持
资源劫持
系统检查
基于用户活动的检查
基于时间的规避
虚拟化/沙箱规避
直接网络洪流
反射放大
网络拒绝服务
操作系统耗尽洪流
服务耗尽洪水
应用程序耗尽洪流
应用程序或系统利用
端点拒绝服务
SQL存储过程
传输代理
Web Shell
IIS 组件
终端服务 DLL
服务器软件组件
安全软件发现
软件发现
植入内部镜像
云服务发现
窃取应用程序访问令牌
系统关闭/重启
来自云存储的数据
账户访问移除
内部鱼叉式网络钓鱼
未使用/不支持的云区域
将数据传输到云账户
云服务仪表板
窃取 Web 会话 Cookie
系统固件
组件固件
引导工具包
ROMMONkit
TFTP 启动
操作系统启动前
启动代理
Systemd服务
Windows 服务
启动守护程序
容器服务
创建或修改系统进程
更改默认文件关联
屏幕保护程序
Windows 管理规范事件订阅
Unix Shell 配置修改
陷阱
LC_LOAD_DYLIB 添加
Netsh Helper DLL
辅助功能
AppCert DLLs
AppInit DLLs
应用程序填充
图像文件执行选项注入
PowerShell 配置文件
Emond
组件对象模型劫持
安装包
Udev规则
事件触发执行
注册表运行键/启动文件夹
认证包
时间提供者
Winlogon 助手 DLL
安全支持提供者
内核模块和扩展
重新打开的应用程序
LSASS驱动程序
快捷方式修改
端口监视器
打印处理器
XDG自动启动条目
活动设置
登录项
启动或登录自动启动执行
Setuid 和 Setgid
绕过用户帐户控制
Sudo 和 Sudo 缓存
带提示的提升执行
临时提升的云访问
TCC操纵
滥用提升控制机制
应用程序访问令牌
哈希传递
传递票证
Web会话Cookie
使用替代身份验证材料
文件中的凭据
注册表中的凭据
Bash 历史记录
私钥
云实例元数据 API
组策略首选项
容器API
聊天消息
不安全的凭据
Gatekeeper绕过
代码签名
SIP和信任提供者劫持
安装根证书
绕过网页标记
代码签名策略修改
颠覆信任控制
妥协主机软件二进制文件
钥匙串
Securityd 内存
来自Web浏览器的凭据
Windows 凭据管理器
密码管理器
云秘密管理存储
从密码存储中获取凭据
域控制器认证
密码过滤器 DLL
可插拔认证模块
网络设备认证
可逆加密
多因素认证
混合身份
网络提供程序 DLL
条件访问策略
修改认证过程
LLMNR/NBT-NS 中毒和 SMB 中继
ARP 缓存中毒
DHCP 欺骗
恶意双胞胎
中间人攻击
黄金票证
银票
Kerberoasting
AS-REP 烘焙
Ccache 文件
窃取或伪造Kerberos票证
组件对象模型
动态数据交换
XPC 服务
进程间通信
通过实用程序归档
通过库归档
通过自定义方法归档
归档收集的数据
磁盘内容擦除
磁盘结构擦除
磁盘擦除
禁用或修改工具
禁用Windows事件日志记录
削弱命令历史记录日志
禁用或修改系统防火墙
指标阻断
禁用或修改云防火墙
禁用或修改云日志
安全模式启动
降级攻击
伪造安全警报
禁用或修改Linux审计系统
削弱防御
SSH劫持
RDP劫持
远程服务会话劫持
隐藏文件和目录
隐藏用户
隐藏窗口
NTFS文件属性
隐藏文件系统
运行虚拟实例
VBA Stomping
电子邮件隐藏规则
资源分叉
进程参数欺骗
忽略进程中断
文件/路径排除
隐藏工件
存储数据操纵
传输数据篡改
运行时数据操纵
数据操纵
鱼叉式网络钓鱼附件
鱼叉式网络钓鱼链接
通过服务的鱼叉式网络钓鱼
语音鱼叉式网络钓鱼
网络钓鱼
外传到代码库
外传到云存储
外传到文本存储站点
通过 Webhook 外传
通过Web服务外泄
快速变换DNS
域名生成算法
DNS 计算
动态解析
Launchctl
服务执行
系统服务
横向工具传输
非标准端口
协议隧道
对称加密
非对称加密
加密通道
DLL 搜索顺序劫持
DLL侧加载
Dylib劫持
可执行安装文件权限弱点
动态链接器劫持
通过PATH环境变量进行路径拦截
通过搜索顺序劫持进行路径拦截
通过未加引号的路径进行路径拦截
服务文件权限弱点
服务注册表权限弱点
COR_PROFILER
KernelCallbackTable
AppDomainManager
劫持执行流
创建快照
创建云实例
删除云实例
还原云实例
修改云计算配置
修改云计算基础设施
云基础设施发现
域名
DNS 服务器
虚拟专用服务器
服务器
僵尸网络
Web 服务
无服务器
恶意广告
获取基础设施
域名
DNS 服务器
虚拟专用服务器
服务器
僵尸网络
Web 服务
无服务器
网络设备
妥协基础设施
社交媒体账户
电子邮件账户
云账户
建立账户
社交媒体账户
电子邮件账户
云账户
妥协账户
恶意软件
代码签名证书
数字证书
漏洞利用
开发能力
恶意软件
工具
代码签名证书
数字证书
漏洞利用
漏洞
人工智能
获取能力
凭证
电子邮件地址
员工姓名
收集受害者身份信息
域属性
DNS
网络信任依赖
网络拓扑
IP地址
网络安全设备
收集受害者网络信息
确定物理位置
业务关系
识别业务节奏
识别角色
收集受害者组织信息
硬件
软件
固件
客户端配置
收集受害者主机信息
社交媒体
搜索引擎
代码库
搜索开放网站/域
搜索受害者拥有的网站
扫描IP块
漏洞扫描
字典扫描
主动扫描
DNS/被动 DNS
WHOIS
数字证书
内容分发网络
扫描数据库
搜索开放技术数据库
威胁情报供应商
购买技术数据
搜索封闭来源
通过服务的鱼叉式网络钓鱼
鱼叉式网络钓鱼附件
鱼叉式网络钓鱼链接
语音鱼叉式网络钓鱼
钓鱼获取信息
网络地址转换遍历
网络边界桥接
减少密钥空间
禁用加密硬件
削弱加密
修补系统镜像
降级系统镜像
修改系统映像
SNMP(MIB转储)
网络设备配置转储
来自配置库的数据
Web Cookies
SAML令牌
伪造Web凭证
上传恶意软件
上传工具
安装数字证书
驱动目标
链接目标
SEO投毒
阶段能力
容器管理命令
部署容器
逃逸到主机
在主机上构建镜像
容器和资源发现
系统语言发现
系统位置发现
组策略发现
云存储对象发现
反射代码加载
多因素认证请求生成
调试器规避
Plist 文件修改
无服务器执行
窃取或伪造身份验证证书
获取访问权限
云管理命令
设备驱动程序发现
电源设置
日志枚举
冒充
金融盗窃
内容注入
隐藏基础设施
修改云资源层次结构
数据传输大小限制
对手可能会将数据以固定大小的块而不是整个文件进行外传,或将数据包大小限制在某些阈值以下。这种方法可能用于避免触发网络数据传输阈值警报。
回到页面顶部