ATT&CK 中文版

侦察目标	资源准备	初始入口	执行攻击	持续控制	权限提升	防御规避	凭据访问	环境观察	横向移动	收集信息	命令与控制	窃取数据	侵害影响
主动扫描	获取访问权限	水坑攻击	云管理命令	账户操纵	滥用权限机制	滥用提升控制机制	中间人	帐户发现	利用远程服务	中间人	应用层协议	自动渗透	帐户访问权限删除
主机信息	获取基础架构	利用公开漏洞	命令和脚本	BITS	访问令牌操作	访问令牌操作	蛮力	应用程序窗口发现	内部鱼叉式钓鱼	存档收集的数据	可移动媒体通信	数据传输大小限制	数据销毁
身份信息	泄露帐户	外部远程服务	容器管理命令	自启动执行	自启动执行	BITS	存储中的凭据	浏览器信息发现	横向转移	音频捕获	数据编码	替代协议的渗透	加密的数据
网络信息	失陷基础架构	硬件添加	部署容器	初始化脚本	初始化脚本	在主机上构建映像	利用凭据访问	云基础架构发现	远程服务会话劫持	自动收集	数据混淆	C2通道渗出	数据操作
组织信息	开发能力	网络钓鱼	客户端执行	浏览器扩展	修改系统进程	调试器规避	强制身份验证	云服务仪表板	远程服务	浏览器会话劫持	动态分辨率	其他网络介质	恐吓误导
网络钓鱼获取信息	建立账户	可移动媒体	进程间通信	泄露客户端	域策略修改	对文件解密/解码	伪造网络凭据	云服务发现	可移动媒体	剪贴板数据	加密通道	物理介质上渗出	磁盘擦除
搜索闭源	获取能力	供应链攻击	原生接口	创建帐户	逃逸主机	部署容器	输入捕获	云存储对象发现	软件部署工具	云存储的数据	回退通道	Web服务渗出	终端拒绝服务
搜索开放技术数据库	投放能力	信任关系	计划任务	系统进程	事件触发执行	直接卷访问	修改验证过程	容器和资源发现	污染共享内容	配置存储库的数据	入口工具传输	定时接送	固件损坏
搜索开放网站/域		有效帐户	无服务执行	事件触发	利用特权升级	域策略修改	多重验证拦截	调试器规避	备用身份验证材料	信息存储库的数据	多级通道	数据传输到云帐户	抑制系统恢复
搜索拥有的网站			共享模块	外部远程服务	劫持执行流程	组策略修改	多重验证请求生成	设备驱动程序发现		本地系统的数据	非应用层协议		网络拒绝服务
			软件部署工具	劫持执行流程	注入进程	域信任修改	网络嗅探	域信任发现		共享云端硬盘的数据	非标端口		资源劫持
			系统服务	植入容器镜像	计划任务/作业	执行护栏	凭据转储	文件和目录发现		可移动媒体的数据	协议隧道		服务停止
			用户执行	修改验证过程	有效账户	防御规避利用	窃取访问令牌	组策略发现		数据暂存	代理		系统关机/重启
			WMI	办公应用启动		文件和目录权限修改	伪造身份证书	网络服务发现		电子邮件收集	远程访问软件
				预操作系统启动		隐藏工件	伪造票据	网络共享发现		输入捕获	流量信号
				计划任务/作业		劫持执行流程	窃取网络会话	网络嗅探		屏幕截图	网络服务
				服务器软件组件		损害防御	不安全的凭据	密码策略发现		视频捕获
				流量信号		指标移除		外围设备
				有效帐户		间接命令执行		权限组发现
						伪装		进程发现
						修改验证过程		查询注册表
						修改云计算基础架构		远程系统发现
						修改注册表		软件发现
						修改系统映像		系统信息发现
						网络边界桥接		系统位置发现
						混淆的文件		系统网络配置发现
						Plist文件修改		系统网络连接发现
						预操作系统启动		系统所有者/用户发现
						注入进程		系统服务发现
						反射代码加载		系统时间发现
						恶意域控制器		虚拟化/沙盒规避
						Rootkit
						信任控制
						系统代理执行
						脚本代理执行
						模板注入
						流量信号
						受信任的人员
						未使用/不支持的云区域
						使用备用身份验证材料
						有效帐户
						虚拟化/沙盒规避
						削弱加密
						XSL 脚本处理

ATT&CK 框架信息量巨大，持续更新中...