數位證據保全

Sonntag, 22. Januar 2023

Mitre Att&CK 中譯

 

偵察

資源開發

初始訪問

執行

堅持

特權升級

防禦閃避

10個技巧

7個技巧

9個技巧

13個技巧

19個技巧

13個技巧

42個技巧

主動掃描 (3)

獲取基礎設施 (7)

偷渡式妥協

命令和腳本解譯器 (8)

帳戶操縱 (5)

濫用高度控制機制 4

濫用高度控制機制 4

收集受害者宿主資訊 4

妥協帳戶 (3)

利用面向公眾的應用程式

容器管理命令

位職位

訪問權杖操作 (5)

訪問權杖操作 (5)

收集受害者身份資訊 (3)

妥協基礎設施 (7)

外部遠端服務

部署容器

引導或登錄自動啟動執行 (14)

引導或登錄自動啟動執行 (14)

位職位

收集受害者網路資訊 (6)

發展能力 (4)

硬體添加

利用用戶端執行

引導或登錄初始化腳本 (5)

引導或登錄初始化腳本 (5)

在主機上構建鏡像

收集受害者組織資訊 (4)

建立帳戶 (3)

網路釣魚 (3)

進程間通信 3

流覽器擴展

創建或修改系統進程 4

調試器規避

網路釣魚資訊 (3)

獲得能力 (6)

通過可移動介質複製

原生API

妥協用戶端軟體二進位檔案

域策略修改 2

去混淆/解碼檔或資訊

搜索閉源 (2)

舞臺能力 (6)

供應鏈妥協 (3)

預定任務/工作 (5)

創建帳戶 (3)

逃到宿主

部署容器

搜索開放技術資料庫 (5)

信任關係

無伺服器執行

創建或修改系統進程 4

事件觸發執行 (16)

直接卷訪問

搜索打開的網站/ (3)

有效帳戶 (4)

共用模組

事件觸發執行 (16)

利用特權升級

域策略修改 2

搜索受害者擁有的網站

軟體部署工具

外部遠端服務

劫持執行流程 12

執行護欄 (1)

系統服務 (2)

劫持執行流程 12

過程注入 (12)

利用防禦規避

用戶執行 (3)

植入物內部圖像

預定任務/工作 (5)

檔和目錄許可權修改 (二)

Windows 管理規範

修改認證流程 7

有效帳戶 (4)

隱藏文物 (10)

辦公應用啟動 (6)

劫持執行流程 12

預作業系統啟動 (5)

削弱防禦 (9)

預定任務/工作 (5)

指示器移除 (9)

伺服器軟體元件 (5)

間接命令執行

交通信號 (2)

偽裝 (7)

有效帳戶 (4)

修改認證流程 7

 

 

防禦閃避

憑據訪問

發現

發現

橫向運動

42個技巧

17個技巧

30個技巧

30個技巧

9個技巧

修改雲計算基礎設施 (4)

中間對手 (3)

帳戶發現 (4)

 

遠端服務的利用

修改註冊表

蠻力 (4)

應用程式視窗發現

週邊設備發現

內部魚叉式釣魚

修改系統鏡像 2

來自密碼存儲的憑據 (5)

流覽器書簽發現

許可權組發現 (3)

橫向工具轉移

網路邊界橋接 (1)

利用憑證訪問

雲基礎設施發現

流程發現

遠端服務會話劫持 2

混淆檔或資訊 (9)

強制認證

雲服務儀錶板

查詢註冊表

遠端服務 (6)

plist檔修改

偽造網路憑證 (2)

雲服務發現

遠端系統發現

通過可移動介質複製

預作業系統啟動 (5)

輸入捕捉 (4)

雲存儲物件發現

軟體發現 (1)

軟體部署工具

過程注入 (12)

修改認證流程 (七)

容器和資源發現

系統資訊發現

污染共用內容

反射代碼載入

多重身份驗證攔截

調試器規避

系統位置發現 1

使用備用身份驗證材料 (4)

流氓網域控制站

多重身份驗證請求生成

域信任發現

系統網路配置發現 1

Rootkit

網路嗅探

檔和目錄發現

系統網路連接發現

顛覆信任控制 (6)

作業系統憑據轉儲 (8)

群組原則發現

系統所有者/使用者發現

系統二進位代理執行 (13)

竊取應用程式訪問權杖

網路服務發現

系統服務發現

系統腳本代理執行 1

竊取或偽造身份驗證證書

網路共用發現

系統時間發現

範本注入

竊取或偽造 Kerberos 票據 (4)

網路嗅探

虛擬化/沙箱規避 (3)

交通信號 (2)

竊取網路會話 Cookie

密碼策略發現

 

受信任的開發人員實用程式代理執行 (1)

不安全憑證 (7)

 

未使用/不支援的雲區域

 

 

 

 

使用備用身份驗證材料 (4)

 

 

 

 

有效帳戶 (4)

 

 

 

 

虛擬化/沙箱規避 (3)

 

 

 

 

弱化加密 2

 

 

 

 

XSL 腳本處理

 

 

 

 

 

收藏

命令與控制

滲透

影響

17個技巧

16個技巧

9個技巧

13個技巧

中間對手 (3)

應用層協定 4

自動滲漏 (1)

刪除帳戶存取權限

存檔收集的資料 (3)

通過可移動媒體進行通信

資料傳輸大小限制

資料銷毀

音訊採集

資料編碼 (2)

通過替代協議進行滲漏 (3)

為影響而加密的資料

自動收集

數據混淆 3

通過 C2 通道滲透

資料操作 (3)

流覽器會話劫持

動態解析度 (3)

通過其他網路介質滲漏 (1)

汙損 (2)

剪貼板數據

加密頻道 (2)

通過物理介質進行滲漏 (1)

磁片擦除 (2)

來自雲存儲的資料

回退管道

通過 Web 服務進行滲漏 (2)

端點拒絕服務 (4)

來自配置庫的資料 (2)

入口工具傳輸

預定轉移

固件損壞

來自資訊存儲庫的資料 (3)

多級通道

將資料傳輸到雲帳戶

禁止系統恢復

來自本地系統的資料

非應用層協定

網路拒絕服務 (2)

來自網路共用驅動器的資料

非標準埠

資源劫持

來自可移動媒體的資料

協議隧道

服務停止

數據暫存 (2)

代理 (4)

系統關閉/重啟

電子郵件收集 (3)

遠端存取軟體

輸入捕捉 (4)

交通信號 (2)

螢幕截圖

網路服務 (3)

視頻截取