Exploitable_public_workload_leading_to_privilege_escalation:可被利用的公共工作负载导致权限提升 点击展开/收起
T1595:活跃的扫描T1592:收集受害者的主机信息T1589:收集受害者身份信息T1590:收集受害者网络InformationT1591:收集受害者组织信息T1598:网络钓鱼的信息T1597:Search Closed来源T1596:搜索开放的技术数据库T1593:搜索开放Websites/DomainsT1594:搜索Victim-Owned网站承认T1583:收购InfrastructureT1586:妥协账户T1584:妥协基础设施T1587:开发CapabilitiesT1585:建立账户T1588:获得功能T1608:阶段Capabilities资源发展T1189:驾车妥协T1190:利用Public-Facing应用程序T1133:外部远程服务T1200:硬件添加T1566:PhishingT1091:复制Through可移动媒体T1195:供应链妥协T1199:Trusted的关系T1078:Valid账户最初的访问T1059:命令和脚本InterpreterT1609:容器政府命令T1610:部署容器T1203:Exploitation for客户端执行T1559:进程间沟通T1106:本土火T1053:计划Task/JobT1129:Shared模块T1072:软件部署ToolsT1569:系统服务T1204:User执行T1047:窗户管理仪表执行T1098:Account操纵T1197:位工作T1547:启动或登录自动启动执行T1037:Boot or Logon初始化脚本T1176:浏览器扩展T1554:妥协的客户Software BinaryT1136:创建账户T1543:创建或修改系统进程T1546:EventTriggered执行T1133:外部远程服务T1574:劫持执行FlowT1525:植入物内部的图片T1556:修改身份验证过程T1137:Office应用程序启动T1542:Pre-OS引导T1053:计划Task/JobT1505:服务器Software组件T1205:Traffic信号T1078:有效的账户持久性T1548:Abuse Elevation控制机制T1134:访问令牌操纵T1547:启动或登录自动启动ExecutionT1037:启动或登录初始化脚本T1543:创建或修改System ProcessT1484:域策略修改T1611:逃避举办T1546:事件TriggeredExecutionT1068:剥削的特权升级T1574:劫持执行FlowT1055:过程注射T1053:计划Task/JobT1078:有效的账户Privilege升级T1548:滥用海拔控制机制T1134:访问令牌操纵T1197:BITS JobsT1612:构建主机镜像T1622:调试器逃避T1140:Deobfuscate / DecodeFiles或信息T1610:部署容器T1006:直接卷访问T1484:Domain Policy修改T1480:执行护栏T1211:开发的国防逃税T1222:File and Directory权限修改T1564:隐藏工件T1574:劫持ExecutionT1562:损害防御T1070:指示器主机移除T1202:Indirect命令执行T1036:伪装T1556:修改身份验证ProcessT1578:修改云计算基础设施T1112:修改注册表T1601:Modify系统映像T1599:网络边界桥接T1027:模糊的文件or InformationT1647:Plist File修改T1542:Pre-OS引导T1055:过程注射T1620:Reflective代码加载T1207:流氓域控制器T1014:RootkitT1553:破坏信任ControlsT1218:系统二进制代理执行T1216:系统脚本代理ExecutionT1221:Template注射T1205:Traffic信号T1127:Trusted Developer公用事业公司代理执行T1535:未使用/不支持的Cloud RegionsT1550:使用备用身份验证材料T1078:有效的账户T1497:Virtualization/Sandbox逃避T1600:削弱加密T1220:XSL脚本处理Defense逃避T1557:Adversary-in-the-MiddleT1110:蛮力T1555:凭证的密码存储T1212:Exploitation for凭据访问T1187:强迫身份验证T1606:建立网络凭证T1056:Input捕获T1556:修改身份验证过程T1111:多因素Authentication拦截T1621:多因素身份验证请求代T1040:网络SniffingT1003:操作系统的凭证倾销T1528:偷应用程序访问令牌T1558:Steal or打造KerberosTicketsT1539:偷Web会话CookieT1552:无担保Credentials凭证访问T1087:账户发现T1010:应用程序Window DiscoveryT1217:浏览器书签发现T1580:云基础设施DiscoveryT1538:云服务指示板T1526:云服务发现T1619:云Storage Object发现T1613:容器和资源发现T1622:调试器EvasionT1482:域的信任发现T1083:文件和目录发现T1615:Group Policy发现T1046:网络服务发现T1135:网络共享DiscoveryT1040:网络嗅探T1201:密码策略发现T1120:外围Device DiscoveryT1069:许可组织发现T1057:过程发现T1012:查询RegistryT1018:远程系统发现T1518:软件发现T1082:系统Information发现T1614:系统位置发现T1016:系统网络Configuration发现T1049:系统网络连接发现T1033:系统Owner/User发现T1007:系统服务发现T1124:系统时间DiscoveryT1497:虚拟化/沙箱逃避发现T1210:开发远程服务T1534:InternalSpearphishingT1570:横向Tool TransferT1563:远程服务会话劫持T1021:Remote服务T1091:复制Through可移动媒体T1072:软件部署ToolsT1080:Taint SharedContentT1550:使用备用身份验证材料横向运动T1557:Adversary-in-the-MiddleT1560:存档收集的数据T1123:音频捕获T1119:自动化CollectionT1185:浏览器会话劫持T1115:剪贴板数据T1530:Data从云存储对象T1602:数据从配置存储库T1213:Data从信息存储库T1005:数据从本地系统T1039:数据from Network共享驱动器T1025:数据从可移动媒体T1074:数据了T1114:Email集合T1056:输入捕获T1113:屏幕捕获T1125:Video捕获集合T1071:应用程序层协议T1092:沟通ThroughRemovable MediaT1132:数据编码T1001:数据困惑T1568:动态ResolutionT1573:加密通道T1008:回退渠道T1105:入口Tool TransferT1104:Multi-Stage渠道T1095:不适用层协议T1571:非标准的港口T1572:ProtocolTunnelingT1090:代理T1219:远程访问软件T1205:Traffic信号T1102:网络Service命令和控制T1020:自动化漏出T1030:数据传输Size LimitsT1048:漏出在选择协议T1041:漏出C2频道T1011:Exfiltration相对于其他网络媒介T1052:漏出了物理媒介T1567:漏出Over Web ServiceT1029:计划TransferT1537:转移数据云账户漏出T1531:Account除访问T1485:数据破坏T1486:数据加密for ImpactT1565:数据操纵T1491:乱涂T1561:磁盘擦T1499:端点否认of ServiceT1495:固件腐败T1490:抑制系统复苏T1498:网络拒绝of ServiceT1496:资源劫持T1489:服务停止T1529:系统关闭/重启Impact
Private_workload_with_admin_permissions:具有管理员权限的私有工作负载 点击展开/收起
T1595:活跃的扫描T1592:收集受害者的主机信息T1589:收集受害者身份信息T1590:收集受害者网络InformationT1591:收集受害者组织信息T1598:网络钓鱼的信息T1597:Search Closed来源T1596:搜索开放的技术数据库T1593:搜索开放Websites/DomainsT1594:搜索Victim-Owned网站承认T1583:收购InfrastructureT1586:妥协账户T1584:妥协基础设施T1587:开发CapabilitiesT1585:建立账户T1588:获得功能T1608:阶段Capabilities资源发展T1189:驾车妥协T1190:利用Public-Facing应用程序T1133:外部远程服务T1200:硬件添加T1566:PhishingT1091:复制Through可移动媒体T1195:供应链妥协T1199:Trusted的关系T1078:Valid账户最初的访问T1059:命令和脚本InterpreterT1609:容器政府命令T1610:部署容器T1203:Exploitation for客户端执行T1559:进程间沟通T1106:本土火T1053:计划Task/JobT1129:Shared模块T1072:软件部署ToolsT1569:系统服务T1204:User执行T1047:窗户管理仪表执行T1098:Account操纵T1197:位工作T1547:启动或登录自动启动执行T1037:Boot or Logon初始化脚本T1176:浏览器扩展T1554:妥协的客户Software BinaryT1136:创建账户T1543:创建或修改系统进程T1546:EventTriggered执行T1133:外部远程服务T1574:劫持执行FlowT1525:植入物内部的图片T1556:修改身份验证过程T1137:Office应用程序启动T1542:Pre-OS引导T1053:计划Task/JobT1505:服务器Software组件T1205:Traffic信号T1078:有效的账户持久性T1548:Abuse Elevation控制机制T1134:访问令牌操纵T1547:启动或登录自动启动ExecutionT1037:启动或登录初始化脚本T1543:创建或修改System ProcessT1484:域策略修改T1611:逃避举办T1546:事件TriggeredExecutionT1068:剥削的特权升级T1574:劫持执行FlowT1055:过程注射T1053:计划Task/JobT1078:有效的账户Privilege升级T1548:滥用海拔控制机制T1134:访问令牌操纵T1197:BITS JobsT1612:构建主机镜像T1622:调试器逃避T1140:Deobfuscate / DecodeFiles或信息T1610:部署容器T1006:直接卷访问T1484:Domain Policy修改T1480:执行护栏T1211:开发的国防逃税T1222:File and Directory权限修改T1564:隐藏工件T1574:劫持ExecutionT1562:损害防御T1070:指示器主机移除T1202:Indirect命令执行T1036:伪装T1556:修改身份验证ProcessT1578:修改云计算基础设施T1112:修改注册表T1601:Modify系统映像T1599:网络边界桥接T1027:模糊的文件or InformationT1647:Plist File修改T1542:Pre-OS引导T1055:过程注射T1620:Reflective代码加载T1207:流氓域控制器T1014:RootkitT1553:破坏信任ControlsT1218:系统二进制代理执行T1216:系统脚本代理ExecutionT1221:Template注射T1205:Traffic信号T1127:Trusted Developer公用事业公司代理执行T1535:未使用/不支持的Cloud RegionsT1550:使用备用身份验证材料T1078:有效的账户T1497:Virtualization/Sandbox逃避T1600:削弱加密T1220:XSL脚本处理Defense逃避T1557:Adversary-in-the-MiddleT1110:蛮力T1555:凭证的密码存储T1212:Exploitation for凭据访问T1187:强迫身份验证T1606:建立网络凭证T1056:Input捕获T1556:修改身份验证过程T1111:多因素Authentication拦截T1621:多因素身份验证请求代T1040:网络SniffingT1003:操作系统的凭证倾销T1528:偷应用程序访问令牌T1558:Steal or打造KerberosTicketsT1539:偷Web会话CookieT1552:无担保Credentials凭证访问T1087:账户发现T1010:应用程序Window DiscoveryT1217:浏览器书签发现T1580:云基础设施DiscoveryT1538:云服务指示板T1526:云服务发现T1619:云Storage Object发现T1613:容器和资源发现T1622:调试器EvasionT1482:域的信任发现T1083:文件和目录发现T1615:Group Policy发现T1046:网络服务发现T1135:网络共享DiscoveryT1040:网络嗅探T1201:密码策略发现T1120:外围Device DiscoveryT1069:许可组织发现T1057:过程发现T1012:查询RegistryT1018:远程系统发现T1518:软件发现T1082:系统Information发现T1614:系统位置发现T1016:系统网络Configuration发现T1049:系统网络连接发现T1033:系统Owner/User发现T1007:系统服务发现T1124:系统时间DiscoveryT1497:虚拟化/沙箱逃避发现T1210:开发远程服务T1534:InternalSpearphishingT1570:横向Tool TransferT1563:远程服务会话劫持T1021:Remote服务T1091:复制Through可移动媒体T1072:软件部署ToolsT1080:Taint SharedContentT1550:使用备用身份验证材料横向运动T1557:Adversary-in-the-MiddleT1560:存档收集的数据T1123:音频捕获T1119:自动化CollectionT1185:浏览器会话劫持T1115:剪贴板数据T1530:Data从云存储对象T1602:数据从配置存储库T1213:Data从信息存储库T1005:数据从本地系统T1039:数据from Network共享驱动器T1025:数据从可移动媒体T1074:数据了T1114:Email集合T1056:输入捕获T1113:屏幕捕获T1125:Video捕获集合T1071:应用程序层协议T1092:沟通ThroughRemovable MediaT1132:数据编码T1001:数据困惑T1568:动态ResolutionT1573:加密通道T1008:回退渠道T1105:入口Tool TransferT1104:Multi-Stage渠道T1095:不适用层协议T1571:非标准的港口T1572:ProtocolTunnelingT1090:代理T1219:远程访问软件T1205:Traffic信号T1102:网络Service命令和控制T1020:自动化漏出T1030:数据传输Size LimitsT1048:漏出在选择协议T1041:漏出C2频道T1011:Exfiltration相对于其他网络媒介T1052:漏出了物理媒介T1567:漏出Over Web ServiceT1029:计划TransferT1537:转移数据云账户漏出T1531:Account除访问T1485:数据破坏T1486:数据加密for ImpactT1565:数据操纵T1491:乱涂T1561:磁盘擦T1499:端点否认of ServiceT1495:固件腐败T1490:抑制系统复苏T1498:网络拒绝of ServiceT1496:资源劫持T1489:服务停止T1529:系统关闭/重启Impact
Cleartext_cloud_credentials_discovered_on_workload:在工作负载中发现明文云凭证 点击展开/收起
T1595:活跃的扫描T1592:收集受害者的主机信息T1589:Gather受害者身份信息T1590:收集受害者网络信息T1591:Gather受害者组织信息T1598:网络钓鱼的信息T1597:搜索关SourcesT1596:搜索开放的技术数据库T1593:搜索开放网站/域名T1594:SearchVictim-Owned网站承认T1583:收购基础设施T1586:Compromise账户T1584:妥协基础设施T1587:开发功能T1585:Establish账户T1588:获得功能T1608:阶段功能Resource发展T1189:驾车妥协T1190:利用面向公众ApplicationT1133:外部远程服务T1200:硬件添加T1566:网络钓鱼T1091:ReplicationThrough可移动媒体T1195:供应链妥协T1199:Trusted的关系T1078:有效的Accounts最初的访问T1059:命令和脚本翻译T1609:Container政府命令T1610:部署容器T1203:开发的Client ExecutionT1559:进程间沟通T1106:本土火T1053:计划Task/JobT1129:共享ModulesT1072:软件部署ToolsT1569:系统服务T1204:用户ExecutionT1047:窗户管理仪表执行T1098:账户ManipulationT1197:位工作T1547:启动或登录自动启动执行T1037:启动或登录Initialization脚本T1176:浏览器扩展T1554:妥协的客户软件二进制T1136:Create账户T1543:创建或修改系统进程T1546:事件TriggeredExecutionT1133:外部远程服务T1574:劫持执行T1525:Implant内部的图片T1556:修改身份验证过程T1137:办公室Application启动T1542:Pre-OS引导T1053:计划Task/JobT1505:服务器软件ComponentT1205:Traffic信号T1078:有效的账户持久性T1548:滥用海拔Control MechanismT1134:访问令牌操纵T1547:启动或登录自动启动执行T1037:Boot or Logon初始化脚本T1543:创建或修改系统进程T1484:Domain Policy修改T1611:逃避举办T1546:事件Triggered执行T1068:Exploitation的特权升级T1574:劫持执行T1055:Process注射T1053:计划Task/JobT1078:有效的账户特权EscalationT1548:滥用海拔控制机制T1134:访问令牌操纵T1197:位工作T1612:Build主机镜像T1622:调试器逃避T1140:Deobfuscate / Decode文件or InformationT1610:部署容器T1006:直接卷访问T1484:域策略ModificationT1480:执行护栏T1211:开发的国防逃税T1222:文件和目录Permissions修改T1564:隐藏工件T1574:劫持执行FlowT1562:损害防御T1070:指示器主机移除T1202:间接Command执行T1036:伪装T1556:修改身份验证过程T1578:Modify云计算基础设施T1112:修改注册表T1601:修改System ImageT1599:网络边界桥接T1027:模糊的文件或信息T1647:Plist File修改T1542:Pre-OS引导T1055:过程注射T1620:反光Code LoadingT1207:流氓域控制器T1014:RootkitT1553:破坏信任控制T1218:System二进制代理执行T1216:系统脚本代理执行T1221:TemplateInjectionT1205:Traffic信号T1127:Trusted Developer公用事业公司代理执行T1535:未使用/不支持的云区域T1550:Use Alternate身份验证材料T1078:有效的账户T1497:虚拟化/沙箱EvasionT1600:削弱加密T1220:XSL脚本处理国防EvasionT1557:Adversary-in-the-MiddleT1110:蛮力T1555:凭证的密码存储T1212:开发的Credential AccessT1187:强迫身份验证T1606:建立网络凭证T1056:输入CaptureT1556:修改身份验证过程T1111:多因素身份验证InterceptionT1621:多因素身份验证请求代T1040:网络嗅探T1003:OS Credential倾销T1528:偷应用程序访问令牌T1558:偷窃或Forge KerberosTicketsT1539:偷Web会话CookieT1552:无担保凭证Credential访问T1087:账户发现T1010:应用程序窗口发现T1217:Browser书签发现T1580:云基础设施发现T1538:Cloud Service指示板T1526:云服务发现T1619:云存储对象DiscoveryT1613:容器和资源发现T1622:调试器逃避T1482:Domain Trust发现T1083:文件和目录发现T1615:组策略DiscoveryT1046:网络服务发现T1135:网络共享发现T1040:Network嗅探T1201:密码策略发现T1120:外围设备发现T1069:Permission组织发现T1057:过程发现T1012:查询注册表T1018:Remote System发现T1518:软件发现T1082:系统信息DiscoveryT1614:系统位置发现T1016:系统网络配置DiscoveryT1049:系统网络连接发现T1033:系统业主/用户DiscoveryT1007:系统服务发现T1124:系统时间发现T1497:Virtualization/Sandbox逃避发现T1210:开发远程服务T1534:内部SpearphishingT1570:横向Tool TransferT1563:远程服务会话劫持T1021:远程ServicesT1091:复制Through可移动媒体T1072:软件部署ToolsT1080:Taint Shared内容T1550:Use Alternate身份验证材料横向运动T1557:Adversary-in-the-MiddleT1560:Archive收集的数据T1123:音频捕获T1119:自动化集合T1185:Browser会话劫持T1115:剪贴板数据T1530:数据from Cloud存储对象T1602:数据从配置存储库T1213:数据from Information存储库T1005:数据从本地系统T1039:数据从网络Shared DriveT1025:数据从可移动媒体T1074:数据了T1114:电子邮件CollectionT1056:输入捕获T1113:屏幕捕获T1125:视频Capture集合T1071:应用程序层协议T1092:沟通Through可移动媒体T1132:Data编码T1001:数据困惑T1568:动态决议T1573:Encrypted通道T1008:回退渠道T1105:入口Tool TransferT1104:多级ChannelsT1095:不适用层协议T1571:非标准的港口T1572:协议TunnelingT1090:ProxyT1219:远程访问软件T1205:Traffic信号T1102:网络服务Command和控制T1020:自动化漏出T1030:数据传输大小限制T1048:Exfiltration在选择协议T1041:漏出C2频道T1011:漏出Over Other网络媒介T1052:漏出了物理媒介T1567:漏出通过Web服务T1029:ScheduledTransferT1537:转移数据云账户漏出T1531:账户Access RemovalT1485:数据破坏T1486:数据加密对影响T1565:Data操纵T1491:乱涂T1561:磁盘擦T1499:端点否认的服务T1495:Firmware腐败T1490:抑制系统复苏T1498:网络拒绝的服务T1496:Resource劫持T1489:服务停止T1529:系统关闭/重启影响
Identity_with_Bad_Hygiene:身份配置不当 点击展开/收起
T1595:活跃的扫描T1592:收集受害者的主机信息T1589:收集受害者身份信息T1590:收集受害者网络InformationT1591:收集受害者组织信息T1598:网络钓鱼的信息T1597:Search Closed来源T1596:搜索开放的技术数据库T1593:搜索开放Websites/DomainsT1594:搜索Victim-Owned网站承认T1583:收购InfrastructureT1586:妥协账户T1584:妥协基础设施T1587:开发CapabilitiesT1585:建立账户T1588:获得功能T1608:阶段Capabilities资源发展T1189:驾车妥协T1190:利用Public-Facing应用程序T1133:外部远程服务T1200:硬件添加T1566:PhishingT1091:复制Through可移动媒体T1195:供应链妥协T1199:Trusted的关系T1078:Valid账户最初的访问T1059:命令和脚本InterpreterT1609:容器政府命令T1610:部署容器T1203:Exploitation for客户端执行T1559:进程间沟通T1106:本土火T1053:计划Task/JobT1129:Shared模块T1072:软件部署ToolsT1569:系统服务T1204:User执行T1047:窗户管理仪表执行T1098:Account操纵T1197:位工作T1547:启动或登录自动启动执行T1037:Boot or Logon初始化脚本T1176:浏览器扩展T1554:妥协的客户Software BinaryT1136:创建账户T1543:创建或修改系统进程T1546:EventTriggered执行T1133:外部远程服务T1574:劫持执行FlowT1525:植入物内部的图片T1556:修改身份验证过程T1137:Office应用程序启动T1542:Pre-OS引导T1053:计划Task/JobT1505:服务器Software组件T1205:Traffic信号T1078:有效的账户持久性T1548:Abuse Elevation控制机制T1134:访问令牌操纵T1547:启动或登录自动启动ExecutionT1037:启动或登录初始化脚本T1543:创建或修改System ProcessT1484:域策略修改T1611:逃避举办T1546:事件TriggeredExecutionT1068:剥削的特权升级T1574:劫持执行FlowT1055:过程注射T1053:计划Task/JobT1078:有效的账户Privilege升级T1548:滥用海拔控制机制T1134:访问令牌操纵T1197:BITS JobsT1612:构建主机镜像T1622:调试器逃避T1140:Deobfuscate / DecodeFiles或信息T1610:部署容器T1006:直接卷访问T1484:Domain Policy修改T1480:执行护栏T1211:开发的国防逃税T1222:File and Directory权限修改T1564:隐藏工件T1574:劫持ExecutionT1562:损害防御T1070:指示器主机移除T1202:Indirect命令执行T1036:伪装T1556:修改身份验证ProcessT1578:修改云计算基础设施T1112:修改注册表T1601:Modify系统映像T1599:网络边界桥接T1027:模糊的文件or InformationT1647:Plist File修改T1542:Pre-OS引导T1055:过程注射T1620:Reflective代码加载T1207:流氓域控制器T1014:RootkitT1553:破坏信任ControlsT1218:系统二进制代理执行T1216:系统脚本代理ExecutionT1221:Template注射T1205:Traffic信号T1127:Trusted Developer公用事业公司代理执行T1535:未使用/不支持的Cloud RegionsT1550:使用备用身份验证材料T1078:有效的账户T1497:Virtualization/Sandbox逃避T1600:削弱加密T1220:XSL脚本处理Defense逃避T1557:Adversary-in-the-MiddleT1110:蛮力T1555:凭证的密码存储T1212:Exploitation for凭据访问T1187:强迫身份验证T1606:建立网络凭证T1056:Input捕获T1556:修改身份验证过程T1111:多因素Authentication拦截T1621:多因素身份验证请求代T1040:网络SniffingT1003:操作系统的凭证倾销T1528:偷应用程序访问令牌T1558:Steal or打造KerberosTicketsT1539:偷Web会话CookieT1552:无担保Credentials凭证访问T1087:账户发现T1010:应用程序Window DiscoveryT1217:浏览器书签发现T1580:云基础设施DiscoveryT1538:云服务指示板T1526:云服务发现T1619:云Storage Object发现T1613:容器和资源发现T1622:调试器EvasionT1482:域的信任发现T1083:文件和目录发现T1615:Group Policy发现T1046:网络服务发现T1135:网络共享DiscoveryT1040:网络嗅探T1201:密码策略发现T1120:外围Device DiscoveryT1069:许可组织发现T1057:过程发现T1012:查询RegistryT1018:远程系统发现T1518:软件发现T1082:系统Information发现T1614:系统位置发现T1016:系统网络Configuration发现T1049:系统网络连接发现T1033:系统Owner/User发现T1007:系统服务发现T1124:系统时间DiscoveryT1497:虚拟化/沙箱逃避发现T1210:开发远程服务T1534:InternalSpearphishingT1570:横向Tool TransferT1563:远程服务会话劫持T1021:Remote服务T1091:复制Through可移动媒体T1072:软件部署ToolsT1080:Taint SharedContentT1550:使用备用身份验证材料横向运动T1557:Adversary-in-the-MiddleT1560:存档收集的数据T1123:音频捕获T1119:自动化CollectionT1185:浏览器会话劫持T1115:剪贴板数据T1530:Data从云存储对象T1602:数据从配置存储库T1213:Data从信息存储库T1005:数据从本地系统T1039:数据from Network共享驱动器T1025:数据从可移动媒体T1074:数据了T1114:Email集合T1056:输入捕获T1113:屏幕捕获T1125:Video捕获集合T1071:应用程序层协议T1092:沟通ThroughRemovable MediaT1132:数据编码T1001:数据困惑T1568:动态ResolutionT1573:加密通道T1008:回退渠道T1105:入口Tool TransferT1104:Multi-Stage渠道T1095:不适用层协议T1571:非标准的港口T1572:ProtocolTunnelingT1090:代理T1219:远程访问软件T1205:Traffic信号T1102:网络Service命令和控制T1020:自动化漏出T1030:数据传输大小限制T1048:漏出在选择协议T1041:漏出Over C2 ChannelT1011:漏出相对于其他网络媒介T1052:漏出了物理媒介T1567:Exfiltration通过Web服务T1029:计划TransferT1537:转移数据云账户ExfiltrationT1531:账户除访问T1485:数据破坏T1486:数据Encrypted对影响T1565:数据操纵T1491:乱涂T1561:磁盘擦T1499:Endpoint Denial的服务T1495:固件腐败T1490:抑制系统复苏T1498:Network Denial的服务T1496:资源劫持T1489:服务停止T1529:系统Shutdown/Reboot影响
Unauthenticated_public_access_to_data_store:未授权的公共访问数据存储 点击展开/收起
T1595:活跃的扫描T1592:收集受害者的主机信息T1589:收集受害者身份信息T1590:收集受害者网络InformationT1591:收集受害者组织信息T1598:网络钓鱼的信息T1597:Search Closed来源T1596:搜索开放的技术数据库T1593:搜索开放Websites/DomainsT1594:搜索Victim-Owned网站承认T1583:收购InfrastructureT1586:妥协账户T1584:妥协基础设施T1587:开发CapabilitiesT1585:建立账户T1588:获得功能T1608:阶段Capabilities资源发展T1189:驾车妥协T1190:利用Public-Facing应用程序T1133:外部远程服务T1200:硬件添加T1566:PhishingT1091:复制Through可移动媒体T1195:供应链妥协T1199:Trusted的关系T1078:Valid账户最初的访问T1059:命令和脚本InterpreterT1609:容器政府命令T1610:部署容器T1203:Exploitation for客户端执行T1559:进程间沟通T1106:本土火T1053:计划Task/JobT1129:Shared模块T1072:软件部署ToolsT1569:系统服务T1204:User执行T1047:窗户管理仪表执行T1098:Account操纵T1197:位工作T1547:启动或登录自动启动执行T1037:Boot or Logon初始化脚本T1176:浏览器扩展T1554:妥协的客户Software BinaryT1136:创建账户T1543:创建或修改系统进程T1546:EventTriggered执行T1133:外部远程服务T1574:劫持执行FlowT1525:植入物内部的图片T1556:修改身份验证过程T1137:Office应用程序启动T1542:Pre-OS引导T1053:计划Task/JobT1505:服务器Software组件T1205:Traffic信号T1078:有效的账户持久性T1548:Abuse Elevation控制机制T1134:访问令牌操纵T1547:启动或登录自动启动ExecutionT1037:启动或登录初始化脚本T1543:创建或修改System ProcessT1484:域策略修改T1611:逃避举办T1546:事件TriggeredExecutionT1068:剥削的特权升级T1574:劫持执行FlowT1055:过程注射T1053:计划Task/JobT1078:有效的账户Privilege升级T1548:滥用海拔控制机制T1134:访问令牌操纵T1197:BITS JobsT1612:构建主机镜像T1622:调试器逃避T1140:Deobfuscate / DecodeFiles或信息T1610:部署容器T1006:直接卷访问T1484:Domain Policy修改T1480:执行护栏T1211:开发的国防逃税T1222:File and Directory权限修改T1564:隐藏工件T1574:劫持ExecutionT1562:损害防御T1070:指示器主机移除T1202:Indirect命令执行T1036:伪装T1556:修改身份验证ProcessT1578:修改云计算基础设施T1112:修改注册表T1601:Modify系统映像T1599:网络边界桥接T1027:模糊的文件or InformationT1647:Plist File修改T1542:Pre-OS引导T1055:过程注射T1620:Reflective代码加载T1207:流氓域控制器T1014:RootkitT1553:破坏信任ControlsT1218:系统二进制代理执行T1216:系统脚本代理ExecutionT1221:Template注射T1205:Traffic信号T1127:Trusted Developer公用事业公司代理执行T1535:未使用/不支持的Cloud RegionsT1550:使用备用身份验证材料T1078:有效的账户T1497:Virtualization/Sandbox逃避T1600:削弱加密T1220:XSL脚本处理Defense逃避T1557:Adversary-in-the-MiddleT1110:蛮力T1555:凭证的密码存储T1212:Exploitation for凭据访问T1187:强迫身份验证T1606:建立网络凭证T1056:Input捕获T1556:修改身份验证过程T1111:多因素Authentication拦截T1621:多因素身份验证请求代T1040:网络SniffingT1003:操作系统的凭证倾销T1528:偷应用程序访问令牌T1558:Steal or打造KerberosTicketsT1539:偷Web会话CookieT1552:无担保Credentials凭证访问T1087:账户发现T1010:应用程序Window DiscoveryT1217:浏览器书签发现T1580:云基础设施DiscoveryT1538:云服务指示板T1526:云服务发现T1619:云Storage Object发现T1613:容器和资源发现T1622:调试器EvasionT1482:域的信任发现T1083:文件和目录发现T1615:Group Policy发现T1046:网络服务发现T1135:网络共享DiscoveryT1040:网络嗅探T1201:密码策略发现T1120:外围Device DiscoveryT1069:许可组织发现T1057:过程发现T1012:查询RegistryT1018:远程系统发现T1518:软件发现T1082:系统Information发现T1614:系统位置发现T1016:系统网络Configuration发现T1049:系统网络连接发现T1033:系统Owner/User发现T1007:系统服务发现T1124:系统时间DiscoveryT1497:虚拟化/沙箱逃避发现T1210:开发远程服务T1534:InternalSpearphishingT1570:横向Tool TransferT1563:远程服务会话劫持T1021:Remote服务T1091:复制Through可移动媒体T1072:软件部署ToolsT1080:Taint SharedContentT1550:使用备用身份验证材料横向运动T1557:Adversary-in-the-MiddleT1560:存档收集的数据T1123:音频捕获T1119:自动化CollectionT1185:浏览器会话劫持T1115:剪贴板数据T1530:Data从云存储对象T1602:数据从配置存储库T1213:Data从信息存储库T1005:数据从本地系统T1039:数据from Network共享驱动器T1025:数据从可移动媒体T1074:数据了T1114:Email集合T1056:输入捕获T1113:屏幕捕获T1125:Video捕获集合T1071:应用程序层协议T1092:沟通ThroughRemovable MediaT1132:数据编码T1001:数据困惑T1568:动态ResolutionT1573:加密通道T1008:回退渠道T1105:入口Tool TransferT1104:Multi-Stage渠道T1095:不适用层协议T1571:非标准的港口T1572:ProtocolTunnelingT1090:代理T1219:远程访问软件T1205:Traffic信号T1102:网络Service命令和控制T1020:自动化漏出T1030:数据传输Size LimitsT1048:漏出在选择协议T1041:漏出C2频道T1011:Exfiltration相对于其他网络媒介T1052:漏出了物理媒介T1567:漏出Over Web ServiceT1029:计划TransferT1537:转移数据云账户漏出T1531:Account除访问T1485:数据破坏T1486:数据加密for ImpactT1565:数据操纵T1491:乱涂T1561:磁盘擦T1499:端点否认of ServiceT1495:固件腐败T1490:抑制系统复苏T1498:网络拒绝of ServiceT1496:资源劫持T1489:服务停止T1529:系统关闭/重启Impact
3rd_party_cross_environment__account_access_leading_to_privilege_escalation:第三方跨环境账户访问导致权限提升 点击展开/收起
T1595:活跃的扫描T1592:收集受害者的主机信息T1589:Gather受害者身份信息T1590:收集受害者网络信息T1591:Gather受害者组织信息T1598:网络钓鱼的信息T1597:搜索关SourcesT1596:搜索开放的技术数据库T1593:搜索开放网站/域名T1594:SearchVictim-Owned网站承认T1583:收购基础设施T1586:Compromise账户T1584:妥协基础设施T1587:开发功能T1585:Establish账户T1588:获得功能T1608:阶段功能Resource发展T1189:驾车妥协T1190:利用面向公众ApplicationT1133:外部远程服务T1200:硬件添加T1566:网络钓鱼T1091:ReplicationThrough可移动媒体T1195:供应链妥协T1199:Trusted的关系T1078:有效的Accounts最初的访问T1059:命令和脚本翻译T1609:Container政府命令T1610:部署容器T1203:开发的Client ExecutionT1559:进程间沟通T1106:本土火T1053:计划Task/JobT1129:共享ModulesT1072:软件部署ToolsT1569:系统服务T1204:用户ExecutionT1047:窗户管理仪表执行T1098:账户ManipulationT1197:位工作T1547:启动或登录自动启动执行T1037:启动或登录Initialization脚本T1176:浏览器扩展T1554:妥协的客户软件二进制T1136:Create账户T1543:创建或修改系统进程T1546:事件TriggeredExecutionT1133:外部远程服务T1574:劫持执行T1525:Implant内部的图片T1556:修改身份验证过程T1137:办公室Application启动T1542:Pre-OS引导T1053:计划Task/JobT1505:服务器软件ComponentT1205:Traffic信号T1078:有效的账户持久性T1548:滥用海拔Control MechanismT1134:访问令牌操纵T1547:启动或登录自动启动执行T1037:Boot or Logon初始化脚本T1543:创建或修改系统进程T1484:Domain Policy修改T1611:逃避举办T1546:事件Triggered执行T1068:Exploitation的特权升级T1574:劫持执行T1055:Process注射T1053:计划Task/JobT1078:有效的账户特权EscalationT1548:滥用海拔控制机制T1134:访问令牌操纵T1197:位工作T1612:Build主机镜像T1622:调试器逃避T1140:Deobfuscate / Decode文件or InformationT1610:部署容器T1006:直接卷访问T1484:域策略ModificationT1480:执行护栏T1211:开发的国防逃税T1222:文件和目录Permissions修改T1564:隐藏工件T1574:劫持执行FlowT1562:损害防御T1070:指示器主机移除T1202:间接Command执行T1036:伪装T1556:修改身份验证过程T1578:Modify云计算基础设施T1112:修改注册表T1601:修改System ImageT1599:网络边界桥接T1027:模糊的文件或信息T1647:Plist File修改T1542:Pre-OS引导T1055:过程注射T1620:反光Code LoadingT1207:流氓域控制器T1014:RootkitT1553:破坏信任控制T1218:System二进制代理执行T1216:系统脚本代理执行T1221:TemplateInjectionT1205:Traffic信号T1127:Trusted Developer公用事业公司代理执行T1535:未使用/不支持的云区域T1550:Use Alternate身份验证材料T1078:有效的账户T1497:虚拟化/沙箱EvasionT1600:削弱加密T1220:XSL脚本处理国防EvasionT1557:Adversary-in-the-MiddleT1110:蛮力T1555:凭证的密码存储T1212:开发的Credential AccessT1187:强迫身份验证T1606:建立网络凭证T1056:输入CaptureT1556:修改身份验证过程T1111:多因素身份验证InterceptionT1621:多因素身份验证请求代T1040:网络嗅探T1003:OS Credential倾销T1528:偷应用程序访问令牌T1558:偷窃或Forge KerberosTicketsT1539:偷Web会话CookieT1552:无担保凭证Credential访问T1087:账户发现T1010:应用程序窗口发现T1217:Browser书签发现T1580:云基础设施发现T1538:Cloud Service指示板T1526:云服务发现T1619:云存储对象DiscoveryT1613:容器和资源发现T1622:调试器逃避T1482:Domain Trust发现T1083:文件和目录发现T1615:组策略DiscoveryT1046:网络服务发现T1135:网络共享发现T1040:Network嗅探T1201:密码策略发现T1120:外围设备发现T1069:Permission组织发现T1057:过程发现T1012:查询注册表T1018:Remote System发现T1518:软件发现T1082:系统信息DiscoveryT1614:系统位置发现T1016:系统网络配置DiscoveryT1049:系统网络连接发现T1033:系统业主/用户DiscoveryT1007:系统服务发现T1124:系统时间发现T1497:Virtualization/Sandbox逃避发现T1210:开发远程服务T1534:内部SpearphishingT1570:横向Tool TransferT1563:远程服务会话劫持T1021:远程ServicesT1091:复制Through可移动媒体T1072:软件部署ToolsT1080:Taint Shared内容T1550:Use Alternate身份验证材料横向运动T1557:Adversary-in-the-MiddleT1560:Archive收集的数据T1123:音频捕获T1119:自动化集合T1185:Browser会话劫持T1115:剪贴板数据T1530:数据from Cloud存储对象T1602:数据从配置存储库T1213:数据from Information存储库T1005:数据从本地系统T1039:数据从网络Shared DriveT1025:数据从可移动媒体T1074:数据了T1114:电子邮件CollectionT1056:输入捕获T1113:屏幕捕获T1125:视频Capture集合T1071:应用程序层协议T1092:沟通Through可移动媒体T1132:Data编码T1001:数据困惑T1568:动态决议T1573:Encrypted通道T1008:回退渠道T1105:入口Tool TransferT1104:多级ChannelsT1095:不适用层协议T1571:非标准的港口T1572:协议TunnelingT1090:ProxyT1219:远程访问软件T1205:Traffic信号T1102:网络服务Command和控制T1020:自动化漏出T1030:数据传输大小限制T1048:Exfiltration在选择协议T1041:漏出C2频道T1011:漏出Over Other网络媒介T1052:漏出了物理媒介T1567:漏出通过Web服务T1029:ScheduledTransferT1537:转移数据云账户漏出T1531:账户Access RemovalT1485:数据破坏T1486:数据加密对影响T1565:Data操纵T1491:乱涂T1561:磁盘擦T1499:端点否认的服务T1495:Firmware腐败T1490:抑制系统复苏T1498:网络拒绝的服务T1496:Resource劫持T1489:服务停止T1529:系统关闭/重启影响
SSH_keys_discovered_on_workload_leading_to_lateral_movement:在工作负载中发现的SSH密钥导致横向移动 点击展开/收起
T1595:活跃的扫描T1592:收集受害者的主机信息T1589:Gather受害者身份信息T1590:收集受害者网络信息T1591:Gather受害者组织信息T1598:网络钓鱼的信息T1597:搜索关SourcesT1596:搜索开放的技术数据库T1593:搜索开放网站/域名T1594:SearchVictim-Owned网站承认T1583:收购基础设施T1586:Compromise账户T1584:妥协基础设施T1587:开发功能T1585:Establish账户T1588:获得功能T1608:阶段功能Resource发展T1189:驾车妥协T1190:利用面向公众ApplicationT1133:外部远程服务T1200:硬件添加T1566:网络钓鱼T1091:ReplicationThrough可移动媒体T1195:供应链妥协T1199:Trusted的关系T1078:有效的Accounts最初的访问T1059:命令和脚本翻译T1609:Container政府命令T1610:部署容器T1203:开发的Client ExecutionT1559:进程间沟通T1106:本土火T1053:计划Task/JobT1129:共享ModulesT1072:软件部署ToolsT1569:系统服务T1204:用户ExecutionT1047:窗户管理仪表执行T1098:账户ManipulationT1197:位工作T1547:启动或登录自动启动执行T1037:启动或登录Initialization脚本T1176:浏览器扩展T1554:妥协的客户软件二进制T1136:Create账户T1543:创建或修改系统进程T1546:事件TriggeredExecutionT1133:外部远程服务T1574:劫持执行T1525:Implant内部的图片T1556:修改身份验证过程T1137:办公室Application启动T1542:Pre-OS引导T1053:计划Task/JobT1505:服务器软件ComponentT1205:Traffic信号T1078:有效的账户持久性T1548:滥用海拔Control MechanismT1134:访问令牌操纵T1547:启动或登录自动启动执行T1037:Boot or Logon初始化脚本T1543:创建或修改系统进程T1484:Domain Policy修改T1611:逃避举办T1546:事件Triggered执行T1068:Exploitation的特权升级T1574:劫持执行T1055:Process注射T1053:计划Task/JobT1078:有效的账户特权EscalationT1548:滥用海拔控制机制T1134:访问令牌操纵T1197:位工作T1612:Build主机镜像T1622:调试器逃避T1140:Deobfuscate / Decode文件or InformationT1610:部署容器T1006:直接卷访问T1484:域策略ModificationT1480:执行护栏T1211:开发的国防逃税T1222:文件和目录Permissions修改T1564:隐藏工件T1574:劫持执行FlowT1562:损害防御T1070:指示器主机移除T1202:间接Command执行T1036:伪装T1556:修改身份验证过程T1578:Modify云计算基础设施T1112:修改注册表T1601:修改System ImageT1599:网络边界桥接T1027:模糊的文件或信息T1647:Plist File修改T1542:Pre-OS引导T1055:过程注射T1620:反光Code LoadingT1207:流氓域控制器T1014:RootkitT1553:破坏信任控制T1218:System二进制代理执行T1216:系统脚本代理执行T1221:TemplateInjectionT1205:Traffic信号T1127:Trusted Developer公用事业公司代理执行T1535:未使用/不支持的云区域T1550:Use Alternate身份验证材料T1078:有效的账户T1497:虚拟化/沙箱EvasionT1600:削弱加密T1220:XSL脚本处理国防EvasionT1557:Adversary-in-the-MiddleT1110:蛮力T1555:凭证的密码存储T1212:开发的Credential AccessT1187:强迫身份验证T1606:建立网络凭证T1056:输入CaptureT1556:修改身份验证过程T1111:多因素身份验证InterceptionT1621:多因素身份验证请求代T1040:网络嗅探T1003:OS Credential倾销T1528:偷应用程序访问令牌T1558:偷窃或Forge KerberosTicketsT1539:偷Web会话CookieT1552:无担保凭证Credential访问T1087:账户发现T1010:应用程序窗口发现T1217:Browser书签发现T1580:云基础设施发现T1538:Cloud Service指示板T1526:云服务发现T1619:云存储对象DiscoveryT1613:容器和资源发现T1622:调试器逃避T1482:Domain Trust发现T1083:文件和目录发现T1615:组策略DiscoveryT1046:网络服务发现T1135:网络共享发现T1040:Network嗅探T1201:密码策略发现T1120:外围设备发现T1069:Permission组织发现T1057:过程发现T1012:查询注册表T1018:Remote System发现T1518:软件发现T1082:系统信息DiscoveryT1614:系统位置发现T1016:系统网络配置DiscoveryT1049:系统网络连接发现T1033:系统业主/用户DiscoveryT1007:系统服务发现T1124:系统时间发现T1497:Virtualization/Sandbox逃避发现T1210:开发远程服务T1534:内部SpearphishingT1570:横向Tool TransferT1563:远程服务会话劫持T1021:远程ServicesT1091:复制Through可移动媒体T1072:软件部署ToolsT1080:Taint Shared内容T1550:Use Alternate身份验证材料横向运动T1557:Adversary-in-the-MiddleT1560:Archive收集的数据T1123:音频捕获T1119:自动化集合T1185:Browser会话劫持T1115:剪贴板数据T1530:数据from Cloud存储对象T1602:数据从配置存储库T1213:数据from Information存储库T1005:数据从本地系统T1039:数据从网络Shared DriveT1025:数据从可移动媒体T1074:数据了T1114:电子邮件CollectionT1056:输入捕获T1113:屏幕捕获T1125:视频Capture集合T1071:应用程序层协议T1092:沟通Through可移动媒体T1132:Data编码T1001:数据困惑T1568:动态决议T1573:Encrypted通道T1008:回退渠道T1105:入口Tool TransferT1104:多级ChannelsT1095:不适用层协议T1571:非标准的港口T1572:协议TunnelingT1090:ProxyT1219:远程访问软件T1205:Traffic信号T1102:网络服务Command和控制T1020:自动化漏出T1030:数据传输大小限制T1048:Exfiltration在选择协议T1041:漏出C2频道T1011:漏出Over Other网络媒介T1052:漏出了物理媒介T1567:漏出通过Web服务T1029:ScheduledTransferT1537:转移数据云账户漏出T1531:账户Access RemovalT1485:数据破坏T1486:数据加密对影响T1565:Data操纵T1491:乱涂T1561:磁盘擦T1499:端点否认的服务T1495:Firmware腐败T1490:抑制系统复苏T1498:网络拒绝的服务T1496:Resource劫持T1489:服务停止T1529:系统关闭/重启影响
翻译采自: https://github.com/lightspin-tech/lightspin-2022-top-7-attack-paths/
因本人常用并学习,就用我自己写的模型进行本地解析代码后翻译成中文并弄成静态加上前端方便其它师傅学习,虽然还有些翻译小问题 但是不妨碍阅读。