| 侦查(Reconnaissance) | 资源开发(Resource Dev) | 初次访问(initial access) | 命令执行(Execution) | 持久化(Persistence) | 提权(Privilege Escalation) | 防御规避(Defense Evasion) | 凭证访问(Credential Access) | 发现(Discovery) | 横向移动(Lateral Movement) | 收集(Collection) | 命令与控制(Command & Control) | 数据外泄(Exfiltration) | 影响(Impact) |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| IP地址块扫描 | 域名 | 水坑攻击 | Powershell | 其他云证书 | Setuid和Setgid | Setuid和Setgid | 密码猜测 | 本地账户 | 远程服务漏洞利用 | 通过使用程序打包 | 网络协议 | 流量复制 | 删除帐户访问权限 |
| 漏洞扫描 | DNS服务器 | 利用公开漏洞 | Applescript | Exchange电子邮件委托权限 | 绕过用户帐户控制 | 绕过用户帐户控制 | 密码破解 | 域账户 | 内网鱼叉式钓鱼 | 通过库打包 | 文件传输协议 | 数据传输大小限制 | 数据销毁 |
| 硬件 | VPS | 外部远程服务 | Windows cmd | 添加Office 365全局管理员角色 | sudo和sudo缓存 | sudo和sudo缓存 | 密码喷洒 | 邮箱账户 | 横向工具传输 | 通过自定义方式打包 | 邮件协议 | 通过对称加密非C2协议泄露 | 加密数据(上锁) |
| 软件 | 服务器 | 硬件攻击 | Unix shell | SSH授权密钥 | 以提示用户输入凭据的方式升级权限 | Elevated Execution with Prompt | 凭证填充(撞库) | 云账户 | SSH劫持 | 音频捕获 | DNS(DNS隧道) | 通过非对称加密非C2协议泄露 | 存储数据处理 |
| 固件 | 僵尸网络 | 鱼叉式钓鱼附件 | VB | BITS作业 | 令牌模拟/窃取 | 令牌模拟/窃取 | 密钥串(keychain) | 应用窗口发现 | RDP劫持 | 自动化收集 | 可移动媒体通信 | 通过未加密/混淆的非C2协议泄露 | 传输数据处理 |
| 客户端配置 | 网站服务 | 鱼叉式钓鱼链接 | Python | 注册表运行键\启动文件夹 | 使用令牌创建进程 | 使用令牌创建进程 | Securityd内存 | 浏览器书签发现 | 远程桌面协议 | 剪切板数据 | 标准编码 | 通过C2信道泄露 | 运行数据处理 |
| 证书 | 社交媒体账户 | 鱼叉式钓鱼服务 | JavaScript | 身份验证包 | 制作和模拟令牌 | 制作和模拟令牌 | Web浏览器的凭证 | 云基础设施发现 | SMB/Windows管理员共享 | 云存储对象数据 | 非标准编码 | 通过蓝牙泄露 | 内部毁损 |
| Email地址 | 邮箱账户 | 通过可移动媒介传播 | 网络设备CLI | Time Providers | PPID欺骗 | PPID欺骗 | 利用凭证访问 | 云服务仪表盘 | 分布式组件对象模型 | SNMP(MIB转储) | 垃圾数据 | 通过USB泄露 | 外部毁损 |
| 员工姓名 | 域名 | 软件依赖和开发工具攻击 | 利用客户端软件漏洞执行 | Winlogon Helper DLL | SID-History注入 | SID-History注入 | 强制认证 | 云服务发现 | SSH | 网络设备配置转储 | 隐写术 | 从代码库泄露 | 磁盘内容擦除 |
| 域名属性 | DNS服务器 | 软件供应链攻击 | 组件对象模型 | 安全支持提供者 | 注册表运行键\启动文件夹 | BITS作业 | 键盘记录 | 域信任发现 | VNC | Confluence | 协议模拟 | 从云存储泄露 | 磁盘结构擦除 |
| DNS | VPS | 硬件供应链攻击 | 动态数据交换 | 内核模块和扩展 | 身份验证包 | 解混淆/解码文件或信息 | GUI输入捕获 | 文件和目录发现 | Windows远程管理 | 共享点 | 域生成算法(DGA) | 定时传输 | 操作系统(OS)泛洪攻击 |
| 网络信任依赖项 | 服务器 | 信任关系 | 原生API | 重新打开的应用程序 | 时间服务器 | 直接访问卷 | Web门户捕获 | 网络服务扫描 | 通过可移动媒体复制 | 本地系统数据 | Fast Flux DNS | 数据转移到云账户 | 服务泛洪攻击 |
| 网络拓扑结构 | 僵尸网络 | 默认账户 | At(windows) | LSASS驱动程序 | Winlogon助手DLL | 环境密钥 | 凭证API劫持 | 网络共享发现 | 应用部署软件 | 网络共享驱动数据 | DNS计算 | 应用泛洪攻击 | |
| IP地址 | 网站服务 | 域账户 | 计划任务 | 修改快捷方式 | 安全支持提供者 | 漏洞利用来规避防御 | LLMNR/NBT-NS投毒和SMB中继 | 网络嗅探 | 污染共享内容 | 可移动媒体数据 | 对称加密 | 应用程序或系统漏洞利用 | |
| 网络安全设备 | 恶意软件 | 本地账户 | At(Linux) | 端口监视器 | 内核模块和扩展 | Windows文件和目录权限修改 | ARP缓存投毒 | 密码策略发现 | Pass the Hash | 本地数据暂存(汇聚) | 非对称加密 | 固件损坏 | |
| 商业关系 | 电子证书 | 云账户 | Launchd | Plist文件修改 | 重新打开的应用程序 | Linux、Mac文件和目录权限修改 | 域控制器认证 | 外围设备发现 | Pass the Ticket | 远程数据暂存(汇聚) | 备用信道 | 禁止系统恢复 | |
| 确定物理位置 | 代码签名证书 | Cron | 打印处理器 | LSASS驱动程序 | 修改组策略 | 密码过滤DLL | 域组 | 应用程序访问令牌 | 本地电子邮件收集 | 入口工具转移 | 直接网络泛洪攻击 | ||
| 确定业务 | 漏洞利用 | Systemd Timers | 登录脚本(windows) | 修改快捷方式 | 隐藏文件和目录 | 可插拔认证模块 | 本地组 | Web会话Cookie | 远程电子邮件收集 | 多级信道 | 反射放大攻击 | ||
| 确定角色 | 社交媒体账户 | 共享模块 | 登录脚本(mac) | 端口监视器 | 隐藏用户 | 网络设备认证 | 云组 | 电子邮件转发规则 | 非应用层协议 | 资源劫持 | |||
| 鱼叉式钓鱼服务 | 邮箱账户 | 软件部署工具 | 网络登录脚本 | Plist文件修改 | 隐藏窗口 | 网络嗅探 | 进程发现 | 键盘记录 | 非常用端口 | 服务暂停 | |||
| 鱼叉式钓鱼附件 | 恶意软件 | Launchctl | rc.common | 打印处理器 | NTFS文件属性 | LSASS内存 | 查询注册表 | GUI输入捕获 | 协议隧道 | 系统关机\重启 | |||
| 鱼叉式钓鱼链接 | 工具 | Service执行 | 启动项 | 登录脚本(windows) | 隐藏文件系统 | SAM | 远程系统发现 | Web门户捕获 | 内部代理 | ||||
| 威胁情报供应商 | 电子证书 | 恶意文件 | 浏览器扩展 | 登录脚本(mac) | 运行虚拟实例 | NTDS | 安全软件发现 | 凭证API劫持 | 外部代理 | ||||
| 买卖技术信息 | 代码签名证书 | 恶意链接 | 受损客户端软件二进制文件 | 网络登录脚本 | VBA Stomping | DCSync | 系统信息发现 | 浏览器中间人攻击 | 多跳代理 | ||||
| WHOIS | 漏洞利用 | Windows管理规范 | 本地账户 | rc.common | 服务文件权限缺陷 | Proc文件系统 | 系统网络配置发现 | LLMNR/NBT-NS投毒和SMB中继 | 域前置 | ||||
| DNS\被动DNS | 脆弱性 | 域账户 | 启动项 | 可执行安装文件权限缺陷 | /etc/passwd和/etc/shadow | 系统网络连接发现 | ARP缓存投毒 | 远程访问软件 | |||||
| 电子证书 | 云账户 | Launch代理 | 服务注册表权限缺陷 | 域凭证缓存 | 系统所有者/用户发现 | 屏幕截图 | 端口敲击 | ||||||
| CDNs | Launch代理 | Systemd服务 | 未加引号的路径拦截 | LSA机密 | 系统服务发现 | 视频捕获 | Dead drop解析器 | ||||||
| 扫描数据库 | Systemd服务 | Windows服务 | PATH环境变量路径拦截 | 窃取应用程序访问令牌 | 系统时间发现 | 双向通信 | |||||||
| 社交媒体 | Windows服务 | 运行守护进程 | 搜索顺序劫持路径拦截 | 黄金票据 | 系统检验 | 单向通信 | |||||||
| 搜索引擎 | 运行守护进程 | 更改默认文件关联 | DLL搜索顺序劫持 | 白银票据 | 基于用户活动检验 | ||||||||
| 受害人网站信息搜索 | 更改默认文件关联 | 屏幕保护 | DLL侧载 | Kerberoasting | 基于时间规避 | ||||||||
| 屏幕保护 | windows管理规范WMI | LD_PRELOAD | AS-REP Roasting | ||||||||||
| windows管理规范WMI | .bash_profile和.bashrc | Dylib劫持 | 窃取Web会话Cookie | ||||||||||
| .bash_profile和.bashrc | trap | COR_PROFILER | 双因素认证拦截 | ||||||||||
| trap | LC_LOAD_DYLIB添加 | 禁用或修改工具 | 文件内凭证 | ||||||||||
| LC_LOAD_DYLIB添加 | Netsh助手DLL | 禁用Windows事件记录 | 注册表内凭证 | ||||||||||
| Netsh助手DLL | 辅助功能 | 削弱命令历史日志 | Bash历史 | ||||||||||
| 辅助功能 | AppCert DLLs | 禁用或修改系统防火墙 | 私钥 | ||||||||||
| AppCert DLLs | AppInit DLLs | 封锁(告警)提示 | 云实例元数据API | ||||||||||
| AppInit DLLs | 应用Shim | 禁用或修改云防火墙 | 组策略首选项 | ||||||||||
| 应用Shim | 图像文件执行选项注入 | 禁用云日志 | |||||||||||
| 图像文件执行选项注入 | PowerShell配置文件 | 删除Windows事件日志 | |||||||||||
| PowerShell配置文件 | Emond | 删除Linux或Mac事件日志 | |||||||||||
| Emond | COM劫持 | 删除历史指令 | |||||||||||
| COM劫持 | 利用权限提升漏洞 | 删除文件 | |||||||||||
| 外部远程服务 | 修改组策略 | 删除网络共享连接 | |||||||||||
| 服务文件权限缺陷 | 服务文件权限缺陷 | Timestomp工具 | |||||||||||
| 可执行安装文件权限缺陷 | 可执行安装文件权限缺陷 | 间接命令执行 | |||||||||||
| 服务注册表权限缺陷 | 服务注册表权限缺陷 | 无效代码签名 | |||||||||||
| 未加引号的路径拦截 | 未加引号的路径拦截 | RTLO | |||||||||||
| PATH环境变量路径拦截 | PATH环境变量路径拦截 | 重命名系统程序 | |||||||||||
| 搜索顺序劫持路径拦截 | 搜索顺序劫持路径拦截 | 伪装任务或服务 | |||||||||||
| DLL搜索顺序劫持 | DLL搜索顺序劫持 | 匹配合法名称或地理位置 | |||||||||||
| DLL侧载 | DLL侧载 | 文件名后置空格 | |||||||||||
| LD_PRELOAD | LD_PRELOAD | 域控制器认证 | |||||||||||
| Dylib劫持 | Dylib劫持 | 密码过滤DLL | |||||||||||
| COR_PROFILER | COR_PROFILER | 可插拔认证模块 | |||||||||||
| 植入容器镜像 | DLL注入 | 网络设备认证 | |||||||||||
| 加载项 | PE文件注入 | 创建快照 | |||||||||||
| Office模板宏 | 进程替换 | 创建云实例 | |||||||||||
| Outlook表单 | 线程执行流劫持 | 删除云实例 | |||||||||||
| Outlook规则 | 异步过程调用 | 还原云实例 | |||||||||||
| Outlook主页 | 线程局部存储 | 修改注册表 | |||||||||||
| Office测试 | Ptrace系统调用 | 修补系统镜像 | |||||||||||
| 系统固件 | Proc内存 | 降级系统镜像 | |||||||||||
| 组件固件 | VDSO劫持 | NAT遍历 | |||||||||||
| 引导套件 | EWM式注入 | 二进制填充 | |||||||||||
| ROMMON套件 | 进程 Doppelgänging | 软件打包 | |||||||||||
| TFTP引导 | At(windows) | 隐写术 | |||||||||||
| At(windows) | 计划任务 | 传递后编译 | |||||||||||
| 计划任务 | At(Linux) | 删除工具中的指示器 | |||||||||||
| At(Linux) | Launchd | 系统固件 | |||||||||||
| Launchd | Cron | 组件固件 | |||||||||||
| Cron | Systemd Timers | 引导套件 | |||||||||||
| Systemd Timers | 默认账户 | ROMMON套件 | |||||||||||
| SQL存储过程 | 域账户 | TFTP引导 | |||||||||||
| 传输代理 | 本地账户 | DLL注入 | |||||||||||
| Webshell | 云账户 | PE文件注入 | |||||||||||
| 端口敲击 | 进程替换 | ||||||||||||
| 默认账户 | 线程执行流劫持 | ||||||||||||
| 域账户 | 异步过程调用 | ||||||||||||
| 本地账户 | 线程局部存储 | ||||||||||||
| 云账户 | Ptrace系统调用 | ||||||||||||
| Proc内存 | |||||||||||||
| VDSO劫持 | |||||||||||||
| EWM式注入 | |||||||||||||
| 进程 Doppelgänging | |||||||||||||
| 恶意域控制器 | |||||||||||||
| Rootkit | |||||||||||||
| Rundll32 | |||||||||||||
| 编译HTML文件 | |||||||||||||
| 控制面板 | |||||||||||||
| CMSTP | |||||||||||||
| InstallUtil | |||||||||||||
| Mshta | |||||||||||||
| Regsvcs/Regasm | |||||||||||||
| Regsvr32 | |||||||||||||
| Msiexec | |||||||||||||
| Odbcconf | |||||||||||||
| Verclsid | |||||||||||||
| PubPrn | |||||||||||||
| Gatekeeper绕过 | |||||||||||||
| 代码签名 | |||||||||||||
| 劫持SIP和信托提供商 | |||||||||||||
| 安装根证书 | |||||||||||||
| 模板注入 | |||||||||||||
| 端口敲击 | |||||||||||||
| MSBuild | |||||||||||||
| 未使用/未受支持的云区域 | |||||||||||||
| Pass the Hash | |||||||||||||
| Pass the Ticket | |||||||||||||
| 应用程序访问令牌 | |||||||||||||
| Web会话Cookie | |||||||||||||
| 默认账户 | |||||||||||||
| 域账户 | |||||||||||||
| 本地账户 | |||||||||||||
| 云账户 | |||||||||||||
| 系统检验 | |||||||||||||
| 基于用户活动检验 | |||||||||||||
| 基于时间规避 | |||||||||||||
| 减少密钥空间 | |||||||||||||
| 禁用加密硬件 | |||||||||||||
| XML脚本处理 |