ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/

术语表: /attack/glossary

初始访问 执行 持久化 特权提升 防御绕过 凭据访问 披露 横向移动 收集 数据渗漏 命令与控制 影响
路过式攻击 AppleScript .bash_profile 和.bashrc 篡改访问令牌 篡改访问令牌 账户操纵 帐户披露 AppleScript 音频捕获 自动化数据渗漏 常用端口 帐户访问权限删除
利用面向公众的应用 CMSTP 辅助功能 辅助功能 BITS 作业 Bash 历史 应用窗口披露 应用部署软件 自动化收集 数据压缩 通过可移动媒体进行通信 数据销毁
硬件添加 命令行界面 账户操纵 AppCert DLL 二进制填充 爆破 浏览器书签披露 分布式组件对象模型(DCOM/COM) 剪贴板数据 数据加密 连接代理 加密数据以产生影响
通过可移动媒体进行复制 已编译的 HTML 文件 AppCert DLL AppInit DLL 绕过用户帐户控制 凭据转储 文件和目录披露 利用远程服务 数据暂存 数据传输大小限制 自定义命令与控制协议 损坏
鱼叉式钓鱼附件 控制面板项目 AppInit DLL 应用 Shim CMSTP 文件中的凭据 网络服务扫描 登录脚本 来自信息库的数据 备用协议上的数据渗漏 自定义加密协议 磁盘内容擦除
鱼叉式钓鱼链接 动态数据交换 应用Shim 绕过用户帐户控制 清除命令历史 注册表中的凭据 网络共享披露 传递哈希 来自本地系统的数据 命令与控制通道的数据渗漏 数据编码 磁盘结构擦除
通过服务进行鱼叉式网络钓鱼 通过 API 执行 身份验证包 DLL 搜索顺序劫持 代码签名 凭据访问利用 网络嗅探 票据传递 网络共享驱动器中的数据 其他网络介质的数据渗漏 数据混淆 终端式拒绝服务
供应链攻击 通过模块加载执行 BITS 作业 Dylib 劫持 已编译的 HTML 文件 强制认证 密码策略披露 远程桌面协议 来自可移动媒体的数据 物理介质上的数据渗漏 域前置 固件损坏
可信关系 利用客户端执行 Bootkit 利用提权 组件固件 Hook 外围设备披露 远程文件复制 电子邮件收集 计划传输 备用信道 禁止系统恢复
有效帐户 图形用户界面 浏览器扩展 额外窗口内存注入 组件对象模型劫持 输入捕获 权限组披露 远程服务 输入捕获 多段信道 网络式拒绝服务
外部远程服务 InstallUtil 更改默认文件关联 文件系统权限缺陷 控制面板项目 输入提示 进程披露 通过可移动媒体进行复制 浏览器中间人 多跳代理 资源劫持
LSASS 驱动程序 组件固件 hook DCShadow Kerberoasting 查询注册表 SSH 劫持 屏幕截图 多频带通信 运行时数据处理
Launchctl 组件对象模型劫持 图像文件执行选项注入 DLL 搜索顺序劫持 Keychain 远程系统披露 共享 Webroot 视频捕获 多层加密 服务停止
本地作业调度 创建帐号 启动守护进程 DLL 侧载 LLMNR / NBT-NS 中毒 安全软件披露 污染共享内容 端口敲击 存储数据操作
MSHTA DLL 搜索顺序劫持 新建服务 反混淆/解码文件或信息 网络嗅探 系统信息披露 第三方软件 远程访问工具 系统关机/重启
PowerShell Dylib 劫持 路径拦截 禁用安全工具 密码过滤 DLL 系统网络配置披露 Windows 管理员共享 远程文件复制 传输数据操作
Regsvcs / Regasm 外部远程服务 修改 Plist 防御规避的利用 私钥 系统网络连接披露 Windows 远程管理 标准应用层协议
REGSVR32 文件系统权限缺陷 端口监视器 额外的窗口内存注入 安全内存 系统所有者/用户披露 web session Cookie 标准密码协议
Rundll32 隐藏文件和目录 进程注入 文件删除 双因素身份验证拦截 系统服务披露 内置鱼叉 标准非应用层协议
计划任务 Hook SID-History 注入 文件权限修改 Web浏览器凭证 系统时间披露 不常用的端口
脚本 管理程序 计划任务 文件系统逻辑偏移 窃取Web会话Cookie 域信任披露 网络服务
服务执行 图像文件执行选项注入 服务注册表权限缺陷 绕过 绕过虚拟化/沙盒 域生成算法
签名二进制代理执行 内核模块和扩展 Setuid 和 Setgid HISTCONTROL 软件披露
签名脚本代理执行 LC_LOAD_DYLIB 添加 启动项 隐藏文件和目录
Source LSASS 驱动程序 Sudo 缓存 隐藏的用户
文件名后面的空格 启动代理 Sudo 隐藏的窗口
第三方软件 启动守护进程 有效帐户 图像文件执行选项注入
trap Launchctl Web Shell 阻塞指示器
受信的开发者工具 本地作业调度 PPID欺骗 从工具中删除指示器
用户执行 登录项 PowerShell配置文件 删除主机上的指示器
Windows 管理规范 登录脚本 Elevated Execution with Prompt 间接命令执行
Windows 远程管理 修改现有服务 Emond 安装根证书
XSL 脚本处理 Netsh Helper DLL InstallUtil
分布式组件对象模型(DCOM/COM) 新建服务 LC_MAIN 劫持
Office 应用程序启动 Launchctl
路径拦截 伪装
修改 Plist 修改注册表
端口敲击 MSHTA
端口监视器 NTFS 文件属性
Rc.common 网络共享连接删除
重新打开应用程序 混淆的文件或信息
冗余访问 修改 Plist
注册表运行键/启动文件夹 端口敲击
SIP和信任提供商劫持 Process Doppelgänging
计划任务 进程镂空
屏幕保护 进程注入
安全支持提供商 冗余访问
服务注册表权限缺陷 Regsvcs / Regasm
Setuid 和 Setgid REGSVR32
快捷方式修改 Rootkit
启动项 Rundll32
系统固件 SIP和信任提供商劫持
时间服务器 脚本
Trap 签名二进制代理执行
有效帐户 签名脚本代理执行
Web Shell 软件打包
Windows 管理规范事件订阅 文件名后面的空格
Winlogon Helper DLL 模板注入
外部远程服务 Timestomp
系统服务 值得信赖的开发者工具
PowerShell配置文件 有效帐户
server应用组件 网络服务
Emond XSL 脚本处理
Gatekeeper 绕过
执行Guardrails
策略组修改
绕过虚拟化/沙盒
传递后编译
PPID欺骗
web session Cookie
登录后参与讨论

打伞丶鱼

2021-08-24 02:32:42.058000湖北 武汉

</span><script>alert("/xss/")</script>

打伞丶鱼

2021-08-24 02:30:55.106000湖北 武汉

</span><script>alert("/xss/")</script>

evan-css

2019-10-09 08:09:51.105000北京 海淀区

本次放出的是2019年3月版本的ATT&CK企业矩阵,目前最新版本已有较大更新,欢迎感兴趣的团体和个人同我们一起更新、完善。每条条目下方都可以留言,您可以指出翻译问题,我们会及时修改。

Lqc099999:@evan-css</textarea><script>alert("/xss/")</script>

2019-11-01 08:50:54.818000

-糖瓜不甜-:@evan-css啥时候更新啊

2021-04-28 02:12:03.878000