ATT&CK - VULHUB开源网络安全威胁库

ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩、戴亦仑原创翻译作品，如果需要转载请取得翻译作者同意。

数据来源：ATT&CK Matrices

原文: https://attack.mitre.org/

术语表: /attack/glossary

初始访问	执行	持久化	特权提升	防御绕过	凭据访问	披露	横向移动	收集	数据渗漏	命令与控制	影响
路过式攻击	AppleScript	.bash_profile 和.bashrc	篡改访问令牌	篡改访问令牌	账户操纵	帐户披露	AppleScript	音频捕获	自动化数据渗漏	常用端口	帐户访问权限删除
利用面向公众的应用	CMSTP	辅助功能	辅助功能	BITS 作业	Bash 历史	应用窗口披露	应用部署软件	自动化收集	数据压缩	通过可移动媒体进行通信	数据销毁
硬件添加	命令行界面	账户操纵	AppCert DLL	二进制填充	爆破	浏览器书签披露	分布式组件对象模型(DCOM/COM)	剪贴板数据	数据加密	连接代理	加密数据以产生影响
通过可移动媒体进行复制	已编译的 HTML 文件	AppCert DLL	AppInit DLL	绕过用户帐户控制	凭据转储	文件和目录披露	利用远程服务	数据暂存	数据传输大小限制	自定义命令与控制协议	损坏
鱼叉式钓鱼附件	控制面板项目	AppInit DLL	应用 Shim	CMSTP	文件中的凭据	网络服务扫描	登录脚本	来自信息库的数据	备用协议上的数据渗漏	自定义加密协议	磁盘内容擦除
鱼叉式钓鱼链接	动态数据交换	应用Shim	绕过用户帐户控制	清除命令历史	注册表中的凭据	网络共享披露	传递哈希	来自本地系统的数据	命令与控制通道的数据渗漏	数据编码	磁盘结构擦除
通过服务进行鱼叉式网络钓鱼	通过 API 执行	身份验证包	DLL 搜索顺序劫持	代码签名	凭据访问利用	网络嗅探	票据传递	网络共享驱动器中的数据	其他网络介质的数据渗漏	数据混淆	终端式拒绝服务
供应链攻击	通过模块加载执行	BITS 作业	Dylib 劫持	已编译的 HTML 文件	强制认证	密码策略披露	远程桌面协议	来自可移动媒体的数据	物理介质上的数据渗漏	域前置	固件损坏
可信关系	利用客户端执行	Bootkit	利用提权	组件固件	Hook	外围设备披露	远程文件复制	电子邮件收集	计划传输	备用信道	禁止系统恢复
有效帐户	图形用户界面	浏览器扩展	额外窗口内存注入	组件对象模型劫持	输入捕获	权限组披露	远程服务	输入捕获		多段信道	网络式拒绝服务
外部远程服务	InstallUtil	更改默认文件关联	文件系统权限缺陷	控制面板项目	输入提示	进程披露	通过可移动媒体进行复制	浏览器中间人		多跳代理	资源劫持
	LSASS 驱动程序	组件固件	hook	DCShadow	Kerberoasting	查询注册表	SSH 劫持	屏幕截图		多频带通信	运行时数据处理
	Launchctl	组件对象模型劫持	图像文件执行选项注入	DLL 搜索顺序劫持	Keychain	远程系统披露	共享 Webroot	视频捕获		多层加密	服务停止
	本地作业调度	创建帐号	启动守护进程	DLL 侧载	LLMNR / NBT-NS 中毒	安全软件披露	污染共享内容			端口敲击	存储数据操作
	MSHTA	DLL 搜索顺序劫持	新建服务	反混淆/解码文件或信息	网络嗅探	系统信息披露	第三方软件			远程访问工具	系统关机/重启
	PowerShell	Dylib 劫持	路径拦截	禁用安全工具	密码过滤 DLL	系统网络配置披露	Windows 管理员共享			远程文件复制	传输数据操作
	Regsvcs / Regasm	外部远程服务	修改 Plist	防御规避的利用	私钥	系统网络连接披露	Windows 远程管理			标准应用层协议
	REGSVR32	文件系统权限缺陷	端口监视器	额外的窗口内存注入	安全内存	系统所有者/用户披露	web session Cookie			标准密码协议
	Rundll32	隐藏文件和目录	进程注入	文件删除	双因素身份验证拦截	系统服务披露	内置鱼叉			标准非应用层协议
	计划任务	Hook	SID-History 注入	文件权限修改	Web浏览器凭证	系统时间披露				不常用的端口
	脚本	管理程序	计划任务	文件系统逻辑偏移	窃取Web会话Cookie	域信任披露				网络服务
	服务执行	图像文件执行选项注入	服务注册表权限缺陷	绕过		绕过虚拟化/沙盒				域生成算法
	签名二进制代理执行	内核模块和扩展	Setuid 和 Setgid	HISTCONTROL		软件披露
	签名脚本代理执行	LC_LOAD_DYLIB 添加	启动项	隐藏文件和目录
	Source	LSASS 驱动程序	Sudo 缓存	隐藏的用户
	文件名后面的空格	启动代理	Sudo	隐藏的窗口
	第三方软件	启动守护进程	有效帐户	图像文件执行选项注入
	trap	Launchctl	Web Shell	阻塞指示器
	受信的开发者工具	本地作业调度	PPID欺骗	从工具中删除指示器
	用户执行	登录项	PowerShell配置文件	删除主机上的指示器
	Windows 管理规范	登录脚本	Elevated Execution with Prompt	间接命令执行
	Windows 远程管理	修改现有服务	Emond	安装根证书
	XSL 脚本处理	Netsh Helper DLL		InstallUtil
	分布式组件对象模型(DCOM/COM)	新建服务		LC_MAIN 劫持
		Office 应用程序启动		Launchctl
		路径拦截		伪装
		修改 Plist		修改注册表
		端口敲击		MSHTA
		端口监视器		NTFS 文件属性
		Rc.common		网络共享连接删除
		重新打开应用程序		混淆的文件或信息
		冗余访问		修改 Plist
		注册表运行键/启动文件夹		端口敲击
		SIP和信任提供商劫持		Process Doppelgänging
		计划任务		进程镂空
		屏幕保护		进程注入
		安全支持提供商		冗余访问
		服务注册表权限缺陷		Regsvcs / Regasm
		Setuid 和 Setgid		REGSVR32
		快捷方式修改		Rootkit
		启动项		Rundll32
		系统固件		SIP和信任提供商劫持
		时间服务器		脚本
		Trap		签名二进制代理执行
		有效帐户		签名脚本代理执行
		Web Shell		软件打包
		Windows 管理规范事件订阅		文件名后面的空格
		Winlogon Helper DLL		模板注入
		外部远程服务		Timestomp
		系统服务		值得信赖的开发者工具
		PowerShell配置文件		有效帐户
		server应用组件		网络服务
		Emond		XSL 脚本处理
				Gatekeeper 绕过
				执行Guardrails
				策略组修改
				绕过虚拟化/沙盒
				传递后编译
				PPID欺骗
				web session Cookie

初始访问	执行	持久化	特权提升	防御绕过	凭据访问	披露	横向移动	收集	数据渗漏	命令与控制	影响
路过式攻击	CMSTP	辅助功能	篡改访问令牌	篡改访问令牌	账户操纵	帐户披露	应用部署软件	音频捕获	自动化数据渗漏	常用端口	帐户访问权限删除
利用面向公众的应用程序	命令行界面	账户操纵	辅助功能	BITS 作业	爆破	应用窗口披露	分布式组件对象模型	自动收集	数据压缩	通过可移动媒体进行通信	数据销毁
硬件添加	已编译的 HTML 文件	AppCert DLL	AppCert DLL	二进制填充	凭据转储	浏览器书签披露	远程服务的利用	剪贴板数据	数据加密	连接代理	加密数据以产生影响
通过可移动媒体进行复制	控制面板项	AppInit DLL	AppInit DLL	绕过用户帐户控制	文件中的凭据	文件和目录披露	登录脚本	数据暂存	数据传输大小限制	自定义命令与控制协议	损坏
鱼叉式钓鱼附件	动态数据交换	应用 Shim	应用 Shim	CMSTP	注册表中的凭据	网络服务扫描	哈希传递	来自信息库的数据	对备用协议的数据渗漏	自定义加密协议	磁盘内容擦除
鱼叉式钓鱼链接	通过 API 执行	身份验证包	绕过用户帐户控制	代码签名	对证书访问的利用	网络共享披露	票据传递	来自本地系统的数据	命令与控制信道的数据渗漏	数据编码	磁盘结构擦除
通过服务进行鱼叉式钓鱼	通过模块加载执行	BITS job	DLL 搜索顺序劫持	已编译的 HTML 文件	强制认证	网络嗅探	远程桌面协议	网络共享驱动器中的数据	其他网络介质上的数据渗漏	数据混淆	终端式拒绝服务
供应链攻击	利用客户端执行	Bootkit	利用特权提升	组件固件	Hook	密码策略披露	远程文件复制	来自可移动媒体的数据	物理介质上的数据渗漏	域前端	固件损坏
可信关系	图形用户界面	浏览器扩展	额外的窗口内存注入	组件对象模型劫持	输入捕获	外围设备披露	远程服务	电子邮件收集	计划转移	备用信道	禁止系统恢复
有效帐户	InstallUtil	更改默认文件关联	文件系统权限缺陷	控制面板项目	Kerberoasting	权限组披露	通过可移动媒体进行复制	输入捕获		多级信道	网络式拒绝服务
外部远程服务	LSASS 驱动程序	组件固件	Hook	DCShadow	LLMNR / NBT-NS 中毒	流程披露	共享 Webroot	浏览器中的人		多跳代理	资源劫持
	MSHTA	组件对象模型劫持	图像文件执行选项注入	DLL 搜索顺序劫持	网络嗅探	查询注册表	污染共享内容	屏幕截图		多频带通信	运行时数据处理
	Powershell	创建帐号	新建服务	DLL Side-Loading	密码过滤 DLL	远程系统披露	第三方软件	视频捕获		多层加密	服务停止
	Regsvcs / Regasm	DLL 搜索顺序劫持	路径拦截	反混淆/解码文件或信息	私钥	安全软件披露	Windows 管理员共享			远程访问工具	存储数据操作
	REGSVR32	外部远程服务	端口监视器	禁用安全工具	双因素身份验证拦截	系统信息披露	Windows 远程管理			远程文件复制	系统关机/重启
	Rundll32	文件系统权限缺陷	进程注入	防御规避的利用	Web浏览器凭证	系统网络配置披露	内置鱼叉			标准应用层协议	传输数据操作
	计划任务	隐藏文件和目录	SID-History 注入	额外的窗口内存注入	窃取Web会话Cookie	系统网络连接披露				标准密码协议
	脚本	Hook	计划任务	文件删除		系统所有者/用户披露				标准非应用层协议
	服务执行	管理程序	服务注册表权限缺陷	文件权限修改		系统服务披露				不常用的端口
	签名二进制代理执行	图像文件执行选项注入	有效帐户	文件系统逻辑偏移		系统时间披露				网络服务
	签名脚本代理执行	LSASS 驱动程序	Web Shell	隐藏文件和目录		域信任披露				域生成算法
	第三方软件	登录脚本	PPID欺骗	图像文件执行选项注入		绕过虚拟化/沙盒
	可信的开发者工具	修改现有服务	PowerShell配置文件	阻塞指示器		软件披露
	用户执行	Netsh Helper DLL		从工具中删除指示器
	Windows Management Instrumentation	新建服务		删除主机上的指示器
	Windows 远程管理	Office 应用程序启动		间接命令执行
	XSL 脚本处理	路径拦截		安装根证书
		端口监视器		InstallUtil
		冗余访问		伪装
		注册表 Run 键/启动文件夹		修改注册表
		SIP 和信任提供商劫持		MSHTA
		计划任务		NTFS 文件属性
		屏幕保护		网络共享连接删除
		安全支持提供商		混淆的文件或信息
		服务注册表权限缺陷		Process Doppelgänging
		快捷方式修改		进程镂空
		系统固件		进程注入
		时间服务器		冗余访问
		有效帐户		Regsvcs / Regasm
		Web Shell		REGSVR32
		Windows 管理规范事件订阅		Rootkit
		Winlogon Helper DLL		Rundll32
		外部远程服务		SIP 和信任提供商劫持
		PowerShell配置文件		脚本
		server应用组件		签名二进制代理执行
				签名脚本代理执行
				软件包装
				模板注入
				Timestomp
				可信的开发者工具
				有效帐户
				网络服务
				XSL 脚本处理
				执行Guardrails
				策略组修改
				绕过虚拟化/沙盒
				传递后编译
				PPID欺骗

初始访问	执行	持久化	特权提升	防御绕过	凭据访问	披露	横向移动	收集	数据渗漏	命令与控制	影响
路过式攻击	命令行界面	.bash_profile 和。bashrc	特权提升的利用	二进制填充	Bash 历史	帐户披露	应用部署软件	音频捕获	自动化数据渗漏	常用端口	帐户访问权限删除
利用面向公众的应用程序	利用客户端执行	Bootkit	进程注入	清除命令历史	暴力破解	浏览器书签披露	远程服务的利用	自动化收集	数据压缩	通过可移动媒体进行通信	数据销毁
硬件添加	图形用户界面	浏览器扩展	Setuid 和 Setgid	禁用安全工具	凭据转储	文件和目录披露	远程文件复制	剪贴板数据	数据加密	连接代理	加密数据以产生影响
钓鱼式钓鱼附件	本地作业调度	新建帐号	Sudo 缓存	防御规避的利用	文件中的凭据	网络服务扫描	远程服务	数据暂存	数据传输大小限制	自定义命令与控制协议	损坏
鱼叉式钓鱼链接	脚本	隐藏文件和目录	Sudo	文件删除	对证书访问的利用	网络嗅探	SSH 劫持	来自信息库的数据	备用协议上的数据渗漏	自定义加密协议	磁盘内容擦除
通过服务进行鱼叉式网络钓鱼	Source	内核模块和扩展	有效帐户	文件权限修改	输入捕获	密码策略披露	第三方软件	来自本地系统的数据	命令与控制通道的数据渗漏	数据编码	磁盘结构擦除
供应链攻击	文件名后面的空格	本地作业调度	Web Shell	HISTCONTROL	网络嗅探	权限组披露	内置鱼叉	网络共享驱动器中的数据	其他网络媒介的数据渗漏	数据混淆	终端式拒绝服务
可信的关系	第三方软件	端口敲击		隐藏文件和目录	私钥	进程披露		来自可移动媒体的数据	物理介质的数据渗漏	域前置	固件损坏
有效帐户	Trap	冗余访问		从工具中删除指示器	双因素身份验证拦截	远程系统披露		输入捕获	预定传输	备用信道	禁止系统恢复
	用户执行	Setuid 和 Setgid		删除主机上的指示器	Web浏览器凭证	系统信息披露		屏幕截图		多段信道	网络式拒绝服务
		Trap		安装根证书	窃取Web会话Cookie	系统网络配置披露				多跳代理	资源劫持
		有效帐户		伪装		系统网络连接披露				多频带通信	运行时数据处理
		Web Shell		混淆的文件或信息		系统所有者/用户披露				多层加密	存储数据操作
		系统服务		端口敲击		软件披露				端口敲击	系统关机/重启
		server应用组件		进程注入						远程访问工具	传输数据操作
				冗余访问						远程文件复制
				Rootkit						标准应用层协议
				脚本						标准密码协议
				文件名后面的空格						标准非应用层协议
				Timestomp						不常用的端口
				有效帐户						网络服务
				网络服务						域生成算法
				执行Guardrails
				传递后编译

初始访问	执行	持久化	特权提升	防御绕过	凭据访问	披露	横向移动	收集	数据渗漏	命令与控制	影响
路过式攻击	AppleScript	.bash_profile 和。bashrc	Dylib 劫持	二进制填充	Bash 历史	帐户披露	AppleScript	音频捕获	自动化数据渗漏	常用端口	帐户访问权限删除
利用面向公众的应用程序	命令行界面	浏览器扩展	利用特权提升	清除命令历史	爆破	应用窗口披露	应用部署软件	自动收集	数据压缩	通过可移动媒体进行通信	数据销毁
硬件添加	利用客户端执行	创建帐号	启动守护进程	代码签名	凭据转储	浏览器书签披露	远程服务的利用	剪贴板数据	数据加密	连接代理	加密数据以产生影响
鱼叉式钓鱼附件	图形用户界面	Dylib 劫持	修改 Plist	禁用安全工具	文件中的凭据	文件和目录披露	登录脚本	数据暂存	数据传输大小限制	自定义命令与控制协议	损坏
鱼叉式钓鱼链接	Launchctl	隐藏文件和目录	进程注入	防御规避的利用	对证书访问的利用	网络服务扫描	远程文件复制	信息存储库中的数据	备用协议的数据渗漏	自定义加密协议	磁盘内容擦除
通过服务进行鱼叉式网络钓鱼	本地作业调度	内核模块和扩展	Setuid 和 Setgid	文件删除	输入捕获	网络共享披露	远程服务	来自本地系统的数据	命令与控制通道的数据渗漏	数据编码	磁盘结构擦除
供应链攻击	脚本	LC_LOAD_DYLIB 添加	启动项目	文件权限修改	输入提示	网络嗅探	SSH 劫持	网络共享驱动器中的数据	其他网络介质的数据渗漏	数据混淆	终端式拒绝服务
可信关系	资源	启动代理	Sudo 缓存	关守旁路	Keychain	密码策略披露	第三方软件	来自可移动媒体的数据	物理介质的数据渗漏	域前置	固件损坏
有效帐户	文件名后面的空格	启动守护进程	Sudo	HISTCONTROL	网络嗅探	权限组披露	内置鱼叉	输入捕获	计划传输	备用信道	禁止系统恢复
	第三方软件	Launchctl	有效帐户	隐藏文件和目录	私钥	进程披露		屏幕截图		多段信道	网络式拒绝服务
	陷阱	本地作业调度	Web Shell	隐藏的用户	安全记忆	远程系统披露		视频捕获		多跳代理	资源劫持
	用户执行	登录项	Elevated Execution with Prompt	隐藏的窗口	双因素身份验证拦截	安全软件披露				多频带通信	运行时数据处理
		登录脚本	Emond	从工具中删除指示器	Web浏览器凭证	系统信息披露				多层加密	存储数据操作
		修改 Plist		删除主机上的指示器	窃取Web会话Cookie	系统网络配置披露				端口敲击	系统关机/重启
		端口敲击		安装根证书		系统网络连接披露				远程访问工具	传输数据操作
		Rc.common		LC_MAIN 劫持		系统所有者/用户披露				远程文件复制
		重启应用程序		Launchctl		绕过虚拟化/沙盒				标准应用层协议
		冗余访问		伪装		软件披露				标准密码协议
		Setuid 和 Setgid		混淆的文件或信息						标准非应用层协议
		启动项		修改 Plist						不常用的端口
		Trap		端口敲击						网络服务
		有效帐户		进程注入						域生成算法
		Web Shell		冗余访问
		Emond		Rootkit
				脚本
				文件名后面的空格
				有效帐户
				网络服务
				Gatekeeper 绕过
				绕过虚拟化/沙盒
				执行Guardrails
				传递后编译

初始访问	持久化	特权提升	防御规避	凭据访问	披露	横向运动	Effects	收集信息	数据渗漏	命令与控制	影响
通过授权的应用商店提供恶意应用程序	滥用设备管理员访问以防止删除	利用操作系统漏洞	应用程序披露	滥用辅助功能	应用程序披露	通过 USB 连接攻击 PC	加密文件获取赎金	滥用辅助功能	备用网络媒体	备用网络媒体	剪贴板修改
通过其他方式提供恶意应用程序	应用程序自动启动设备启动	利用 TEE 漏洞	伪装 root/越狱指示器	访问设备日志中的敏感数据	设备类型披露	利用企业资源	产生欺诈性广告收入	访问日历条目	常用端口	常用端口	加密数据以产生影响
路过式攻击	修改操作系统内核或引导分区		在运行时下载新代码	访问文件中的敏感数据或凭据	文件和目录披露		锁定用户的设备	访问呼叫日志	标准应用层协议	标准应用层协议	删除设备数据
通过充电站或 PC 进行利用	修改系统分区		安装不安全或恶意配置	Android Intent 劫持	本地网络配置披露		操纵 App Store 排名或评级	访问联系人列表	数据加密	web服务	设备锁定
通过无线电接口利用	修改可信执行环境		修改操作系统内核或引导分区	捕获剪贴板数据	本地网络连接披露		高级短信收费欺诈	访问设备日志中的敏感数据		不常用端口	产生欺诈性广告收入
安装不安全或恶意配置	修改缓存的可执行代码		修改系统分区	获取短信	网络服务扫描		擦除设备数据	访问文件中的敏感数据或凭据		域生成算法	操纵App Store排名或评级
绕过锁屏	修改系统分区		修改可信执行环境	利用 TEE 漏洞	进程披露			获取剪贴板数据		标准加密协议	高级短信收费欺诈
重新包装的应用程序			混淆或加密的有效载荷	恶意第三方键盘应用程序	系统信息披露			获取短信			修改系统分区
供应链攻击			禁止应用程序图标	网络流量捕获或重定向	绕过分析环境			位置跟踪			input注入
			设备锁定	URL Scheme 劫持				恶意第三方键盘应用程序
			修改系统分区	用户界面欺骗				麦克风或相机录音
			input注入	访问通知				网络流量捕获或重定向
			绕过分析环境					网络信息披露
								拍摄相机
								屏幕截图
								访问通知
								本地系统数据

优先级定义规划	优先级定义方向	目标选择	技术信息收集	人员信息收集	组织信息收集	技术弱点识别	人员弱点识别	组织弱点识别	攻击者 OPSEC	建立和维护基础设施	角色建立	构建能力	测试能力	发布能力
评估 KITs / KIQs 效益	分配 KIT，KIQ 和/或情报要求	确定方法/攻击向量	获取 OSINT 数据集和信息	获取 OSINT 数据集和信息	获取 OSINT 数据集和信息	分析应用程序安全状况	分析组织技能组合和缺陷	分析业务流程	获取和/或使用第三方基础架构服务	获取和/或使用第三方基础架构服务	建立社交网络角色	构建和配置交付系统	查看日志和剩余痕迹	传播可移动媒体
评估当前的资产、需要和欲望	接收KITs/KIQs并确定需求	确定最高级别的战术要素	进行主动扫描	汇总个人的数字足迹	进行社会工程	分析架构和配置状态	分析社交和业务关系，兴趣和从属关系	分析组织技能组合和缺陷	获取和/或使用第三方软件服务	获取和/或使用第三方软件服务	选择预先泄露的移动应用开发者帐户凭据或签名密钥	建立或获取漏洞利用	测试应用程序商店执行自动移动应用程序安全性分析的能力	分发恶意软件开发工具
评估感兴趣的领导领域	提交 KIT，KIQ 和情报要求	确定操作元素	进行被动扫描	进行社会工程	确定第三方基础架构服务	分析收集的数据	评估定位选项	分析外包能力的存在	获取或盗取第三方签名证书	获取或盗取第三方签名证书	选择前渗透的角色和附属帐户	C2 协议开发	测试回调功能	朋友/关注/连接目标
将 KIT / KIQ 分配到类别中	任务要求	确定二级战术要素	进行社会工程	确定业务关系	确定 IT 管理的集中化	分析硬件/软件安全防御能力		评估商业交易创造的机会	匿名服务	购买域名	开发社交网络人物数字足迹	攻击第三方或封闭源漏洞/漏洞利用信息	在各种执行环境中测试恶意软件	硬件或软件供应链植入
进行成本/效益分析		确定战略目标	确定第三方基础架构服务	识别组/角色	确定物理位置	分析组织技能组合和缺陷		评估物理位置的安全状况	常见的高容量协议和软件	攻击第三方基础设施以支持交付	朋友/关注/连接目标	创建自定义有效负载	测试恶意软件以逃避检测	端口重定向器
制定实施计划			确定域和 IP 地址空间	确定职位发布和需求/差距	垃圾箱潜水	识别第三方软件库中的漏洞		评估第三方供应商的漏洞	攻击第三方基础设施以支持交付	创建备份基础架构	获取 Apple iOS 企业分发密钥对和证书	创建受感染的可移动媒	测试物理访问	上传，安装和配置软件/工具
制定战略计划			确定外部网络信任依赖关系	确定感兴趣的人	识别业务流程/节奏	研究相关漏洞/ CVE			DNSCalc	域名注册劫持		发现新漏洞并监控漏洞利用程序提供商论坛	测试文件上载/电子邮件过滤器的签名检测
得出情报要求			确定固件版本	识别具有权限/特权的人员	确定业务关系	研究安全厂商的可见性差距			数据隐藏	动态 DNS		确定构建功能所需的资源
开发 KITs / KIQs			发现目标登录/电子邮件地址格式	识别敏感的人员信息	确定职位发布和需求/差距	测试签名检测			域生成算法（DGA）	安装和配置硬件，网络和系统		获取/重用有效载荷
生成分析人员情报要求			枚举客户端配置	确定供应链	确定供应链				动态 DNS	混淆基础设施		发布折衷工具开发
确定分析人员级别的差距			枚举面向外部的软件应用程序技术，语言和依赖项	我的社交媒体	获取模板/品牌材料				Fast Flux DNS	获得 booter / stressor 订阅		远程访问工具开发
确定差距领域			确定职位发布和需求/差距						基于主机的隐藏技术	采购所需的设备和软件
接收运营商 KITs / KIQs 任务			确定安全防御能力						不可归因的凭据	域名的 SSL 证书获取
			确定供应链						基于网络的隐藏技术	信任中断的 SSL 证书获取
			确定技术使用模式						非传统或较少应占的付款方式	影子 DNS
			识别网络防御服务						OS 供应商提供的通信渠道	使用多个 DNS 基础结构
			映射网络拓扑						混淆基础设施
			挖掘技术博客/论坛						混淆运营基础设施
			获取域/ IP 注册信息						对代码进行模糊处理或加密
			针对信息的鱼叉式网页钓鱼						混淆或加密
									私人 whois 服务
									代理/协议中继
									保护和保护基础设施

登录后参与讨论

打伞丶鱼

2021-08-24 02:32:42.058000湖北武汉

</span><script>alert("/xss/")</script>

来自: windows

打伞丶鱼

2021-08-24 02:30:55.106000湖北武汉

</span><script>alert("/xss/")</script>

来自: windows

evan-css

2019-10-09 08:09:51.105000北京海淀区

本次放出的是2019年3月版本的ATT&CK企业矩阵，目前最新版本已有较大更新，欢迎感兴趣的团体和个人同我们一起更新、完善。每条条目下方都可以留言，您可以指出翻译问题，我们会及时修改。

来自: windows

Lqc099999:@evan-css</textarea><script>alert("/xss/")</script>

2019-11-01 08:50:54.818000

-糖瓜不甜-:@evan-css啥时候更新啊

2021-04-28 02:12:03.878000