ATT&CK模型思维导图

主动扫描

收集受害者主机信息

收集受害者身份信息

收集受害者网络信息

收集受害者组织信息

通过网络钓鱼收集信息

搜索封闭源

搜索开放的技术数据库

搜索公开网站/域

搜索受害者拥有的网站

获取基础设施

入侵账户

入侵基础设施

开发功能

创建账户

获取功能

发起攻击

网站挂马攻击

利用互联网上应用程序的漏洞

外部远程服务

硬件接入

网络钓鱼攻击

通过可移动介质进行赋值

供应链攻击

可信关系

有效凭证

命令与脚本解析器

容器管理命令

容器部署

利用客户端漏洞获取执行权限

进程间通信

通过本机API执行

计划任务/作业

共享模块

软件部署工具

系统服务

用户执行

Windows 管理规范（WMI）

篡改账户

BITS任务

启动或登录自动启动执行

启动或登录初始化脚本

浏览器扩展

入侵客户软件二进制包

创建账户

创建或修改系统进程

事件触发执行

外部远程服务

劫持执行流

注入容器镜像

修改认证进程

Office应用程序启动

预操作系统启动

计划任务/作业

服务器软件组件

流量信令

有效凭证

滥用权限提升控制机制

篡改访问令牌

启动或登录自动启动执行

启动或登录初始化脚本

创建或修改系统进程

域策略修改

逃逸到主机

事件触发执行

利用漏洞进行权限升级

劫持执行流

计划任务/作业

有效凭证

滥用权限提升控制机制

篡改访问令牌

BITS任务

在主机上构建镜像

绕过排错程序

反混淆/解码文件或信息

容器部署

直接访问逻辑卷

域策略修改

执行护栏

通过漏洞利用进行防御绕过

修改文件与目录权限

隐藏工件

劫持执行流

破坏防御

删除受害者主机上的指示器

间接命令执行

伪装

修改身份验证流程

修改云计算基础设施

修改镜像仓库

修改系统镜像

网络边界桥接

混淆的文件或信息

属性列表文件修改

预操作系统启动

进程注入

反射代码加载

恶意域控制器

Rootkit

篡改可信控件

系统二进制文件代理执行

系统脚本代理执行

模板注入

流量信令

利用可信开发工具代理执行

未使用/不支持的云区域

使用备用身份验证材料

有效凭证

绕过虚拟机/沙箱

削弱加密

XSL脚本处理

中间人攻击

暴力破解

从密码库中获取凭据

利用漏洞获取凭证访问的权限

强制身份验证

伪造Web凭据

输入捕获

修改身份验证流程

多因素身份认证拦截

多因素身份认证请求

网络嗅探

操作系统凭据转储

窃取应用访问令牌

窃取或伪造Kerberos票据

窃取Web会话Cookie

不安全凭证

账户发现

应用窗口发现

浏览器书签发现

云基础设施发现

云服务看板

云服务发现

容器存储对象发现

容器和资源发现

绕过排错程序

域信任发现

文件与目录发现

组策略发现

网络服务扫描

网络共享发现

网络嗅探

密码策略发现

外围设备发现

权限组发现

进程发现

查询注册表

远程系统发现

软件发现

系统信息发现

系统位置发现

系统网络配置发现

系统网络连接发现

系统所有者/用户发现

系统服务发现

系统时间发现

绕过虚拟机/沙箱

利用远程服务漏洞

内部网络钓鱼

利用工具横向传输

远程服务会话劫持

远程服务

通过可移动介质进行复制

软件部署工具

污染共享内容

使用备用身份验证材料

中间人攻击

压缩收集的数据

音频捕获

自动收集

浏览器会话劫持

剪贴板数据

云存储对象中的数据

配置存储库中的数据

信息存储库中的数据

本地系统中的数据

网络共享驱动器中的数据

可移动介质中的数据

数据暂存

收集电子邮件

输入捕获

屏幕捕获

视频捕获

应用层协议

通过移动存储介质通信

数据编码

数据混淆

动态域名解析

加密频道

备用通信信道

入口工具转移

多阶段通信信道

非应用层协议

非标准端口

隧道协议

代理

远程访问软件

流量信令

Web服务

自动窃取

限制数据传输大小

通过备用协议窃取

通过C2通道窃取

使用其他网络介质窃取

使用物理介质窃取

通过Web服务窃取

定期转移

将数据传输到云账户

删除帐户访问权限

数据销毁

通过数据加密实现影响与破坏

篡改数据

损坏数据

磁盘内容擦除

端点拒绝服务

固件破坏

禁用系统恢复

网络拒绝服务

资源劫持

系统关机/重启