ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/

术语表: /attack/glossary

All
初始访问 执行 持久化 特权提升 防御绕过 凭据访问 披露 横向移动 收集 数据渗漏 命令与控制 影响
路过式攻击 AppleScript .bash_profile 和.bashrc 篡改访问令牌 篡改访问令牌 账户操纵 帐户披露 AppleScript 音频捕获 自动化数据渗漏 常用端口 帐户访问权限删除
利用面向公众的应用 CMSTP 辅助功能 辅助功能 BITS 作业 Bash 历史 应用窗口披露 应用部署软件 自动化收集 数据压缩 通过可移动媒体进行通信 数据销毁
硬件添加 命令行界面 账户操纵 AppCert DLL 二进制填充 爆破 浏览器书签披露 分布式组件对象模型(DCOM/COM) 剪贴板数据 数据加密 连接代理 加密数据以产生影响
通过可移动媒体进行复制 已编译的 HTML 文件 AppCert DLL AppInit DLL 绕过用户帐户控制 凭据转储 文件和目录披露 利用远程服务 数据暂存 数据传输大小限制 自定义命令与控制协议 损坏
鱼叉式钓鱼附件 控制面板项目 AppInit DLL 应用 Shim CMSTP 文件中的凭据 网络服务扫描 登录脚本 来自信息库的数据 备用协议上的数据渗漏 自定义加密协议 磁盘内容擦除
鱼叉式钓鱼链接 动态数据交换 应用Shim 绕过用户帐户控制 清除命令历史 注册表中的凭据 网络共享披露 传递哈希 来自本地系统的数据 命令与控制通道的数据渗漏 数据编码 磁盘结构擦除
通过服务进行鱼叉式网络钓鱼 通过 API 执行 身份验证包 DLL 搜索顺序劫持 代码签名 凭据访问利用 网络嗅探 票据传递 网络共享驱动器中的数据 其他网络介质的数据渗漏 数据混淆 终端式拒绝服务
供应链攻击 通过模块加载执行 BITS 作业 Dylib 劫持 已编译的 HTML 文件 强制认证 密码策略披露 远程桌面协议 来自可移动媒体的数据 物理介质上的数据渗漏 域前置 固件损坏
可信关系 利用客户端执行 Bootkit 利用提权 组件固件 Hook 外围设备披露 远程文件复制 电子邮件收集 计划传输 备用信道 禁止系统恢复
有效帐户 图形用户界面 浏览器扩展 额外窗口内存注入 组件对象模型劫持 输入捕获 权限组披露 远程服务 输入捕获 多段信道 网络式拒绝服务
外部远程服务 InstallUtil 更改默认文件关联 文件系统权限缺陷 控制面板项目 输入提示 进程披露 通过可移动媒体进行复制 浏览器中间人 多跳代理 资源劫持
LSASS 驱动程序 组件固件 hook DCShadow Kerberoasting 查询注册表 SSH 劫持 屏幕截图 多频带通信 运行时数据处理
Launchctl 组件对象模型劫持 图像文件执行选项注入 DLL 搜索顺序劫持 Keychain 远程系统披露 共享 Webroot 视频捕获 多层加密 服务停止
本地作业调度 创建帐号 启动守护进程 DLL 侧载 LLMNR / NBT-NS 中毒 安全软件披露 污染共享内容 端口敲击 存储数据操作
MSHTA DLL 搜索顺序劫持 新建服务 反混淆/解码文件或信息 网络嗅探 系统信息披露 第三方软件 远程访问工具 系统关机/重启
PowerShell Dylib 劫持 路径拦截 禁用安全工具 密码过滤 DLL 系统网络配置披露 Windows 管理员共享 远程文件复制 传输数据操作
Regsvcs / Regasm 外部远程服务 修改 Plist 防御规避的利用 私钥 系统网络连接披露 Windows 远程管理 标准应用层协议
REGSVR32 文件系统权限缺陷 端口监视器 额外的窗口内存注入 安全内存 系统所有者/用户披露 web session Cookie 标准密码协议
Rundll32 隐藏文件和目录 进程注入 文件删除 双因素身份验证拦截 系统服务披露 内置鱼叉 标准非应用层协议
计划任务 Hook SID-History 注入 文件权限修改 Web浏览器凭证 系统时间披露 不常用的端口
脚本 管理程序 计划任务 文件系统逻辑偏移 窃取Web会话Cookie 域信任披露 网络服务
服务执行 图像文件执行选项注入 服务注册表权限缺陷 绕过 绕过虚拟化/沙盒 域生成算法
签名二进制代理执行 内核模块和扩展 Setuid 和 Setgid HISTCONTROL 软件披露
签名脚本代理执行 LC_LOAD_DYLIB 添加 启动项 隐藏文件和目录
Source LSASS 驱动程序 Sudo 缓存 隐藏的用户
文件名后面的空格 启动代理 Sudo 隐藏的窗口
第三方软件 启动守护进程 有效帐户 图像文件执行选项注入
trap Launchctl Web Shell 阻塞指示器
受信的开发者工具 本地作业调度 PPID欺骗 从工具中删除指示器
用户执行 登录项 PowerShell配置文件 删除主机上的指示器
Windows 管理规范 登录脚本 Elevated Execution with Prompt 间接命令执行
Windows 远程管理 修改现有服务 Emond 安装根证书
XSL 脚本处理 Netsh Helper DLL InstallUtil
分布式组件对象模型(DCOM/COM) 新建服务 LC_MAIN 劫持
Office 应用程序启动 Launchctl
路径拦截 伪装
修改 Plist 修改注册表
端口敲击 MSHTA
端口监视器 NTFS 文件属性
Rc.common 网络共享连接删除
重新打开应用程序 混淆的文件或信息
冗余访问 修改 Plist
注册表运行键/启动文件夹 端口敲击
SIP和信任提供商劫持 Process Doppelgänging
计划任务 进程镂空
屏幕保护 进程注入
安全支持提供商 冗余访问
服务注册表权限缺陷 Regsvcs / Regasm
Setuid 和 Setgid REGSVR32
快捷方式修改 Rootkit
启动项 Rundll32
系统固件 SIP和信任提供商劫持
时间服务器 脚本
Trap 签名二进制代理执行
有效帐户 签名脚本代理执行
Web Shell 软件打包
Windows 管理规范事件订阅 文件名后面的空格
Winlogon Helper DLL 模板注入
外部远程服务 Timestomp
系统服务 值得信赖的开发者工具
PowerShell配置文件 有效帐户
server应用组件 网络服务
Emond XSL 脚本处理
Gatekeeper 绕过
执行Guardrails
策略组修改
绕过虚拟化/沙盒
传递后编译
PPID欺骗
web session Cookie
Windows
初始访问 执行 持久化 特权提升 防御绕过 凭据访问 披露 横向移动 收集 数据渗漏 命令与控制 影响
路过式攻击 CMSTP 辅助功能 篡改访问令牌 篡改访问令牌 账户操纵 帐户披露 应用部署软件 音频捕获 自动化数据渗漏 常用端口 帐户访问权限删除
利用面向公众的应用程序 命令行界面 账户操纵 辅助功能 BITS 作业 爆破 应用窗口披露 分布式组件对象模型 自动收集 数据压缩 通过可移动媒体进行通信 数据销毁
硬件添加 已编译的 HTML 文件 AppCert DLL AppCert DLL 二进制填充 凭据转储 浏览器书签披露 远程服务的利用 剪贴板数据 数据加密 连接代理 加密数据以产生影响
通过可移动媒体进行复制 控制面板项 AppInit DLL AppInit DLL 绕过用户帐户控制 文件中的凭据 文件和目录披露 登录脚本 数据暂存 数据传输大小限制 自定义命令与控制协议 损坏
鱼叉式钓鱼附件 动态数据交换 应用 Shim 应用 Shim CMSTP 注册表中的凭据 网络服务扫描 哈希传递 来自信息库的数据 对备用协议的数据渗漏 自定义加密协议 磁盘内容擦除
鱼叉式钓鱼链接 通过 API 执行 身份验证包 绕过用户帐户控制 代码签名 对证书访问的利用 网络共享披露 票据传递 来自本地系统的数据 命令与控制信道的数据渗漏 数据编码 磁盘结构擦除
通过服务进行鱼叉式钓鱼 通过模块加载执行 BITS job DLL 搜索顺序劫持 已编译的 HTML 文件 强制认证 网络嗅探 远程桌面协议 网络共享驱动器中的数据 其他网络介质上的数据渗漏 数据混淆 终端式拒绝服务
供应链攻击 利用客户端执行 Bootkit 利用特权提升 组件固件 Hook 密码策略披露 远程文件复制 来自可移动媒体的数据 物理介质上的数据渗漏 域前端 固件损坏
可信关系 图形用户界面 浏览器扩展 额外的窗口内存注入 组件对象模型劫持 输入捕获 外围设备披露 远程服务 电子邮件收集 计划转移 备用信道 禁止系统恢复
有效帐户 InstallUtil 更改默认文件关联 文件系统权限缺陷 控制面板项目 Kerberoasting 权限组披露 通过可移动媒体进行复制 输入捕获 多级信道 网络式拒绝服务
外部远程服务 LSASS 驱动程序 组件固件 Hook DCShadow LLMNR / NBT-NS 中毒 流程披露 共享 Webroot 浏览器中的人 多跳代理 资源劫持
MSHTA 组件对象模型劫持 图像文件执行选项注入 DLL 搜索顺序劫持 网络嗅探 查询注册表 污染共享内容 屏幕截图 多频带通信 运行时数据处理
Powershell 创建帐号 新建服务 DLL Side-Loading 密码过滤 DLL 远程系统披露 第三方软件 视频捕获 多层加密 服务停止
Regsvcs / Regasm DLL 搜索顺序劫持 路径拦截 反混淆/解码文件或信息 私钥 安全软件披露 Windows 管理员共享 远程访问工具 存储数据操作
REGSVR32 外部远程服务 端口监视器 禁用安全工具 双因素身份验证拦截 系统信息披露 Windows 远程管理 远程文件复制 系统关机/重启
Rundll32 文件系统权限缺陷 进程注入 防御规避的利用 Web浏览器凭证 系统网络配置披露 内置鱼叉 标准应用层协议 传输数据操作
计划任务 隐藏文件和目录 SID-History 注入 额外的窗口内存注入 窃取Web会话Cookie 系统网络连接披露 标准密码协议
脚本 Hook 计划任务 文件删除 系统所有者/用户披露 标准非应用层协议
服务执行 管理程序 服务注册表权限缺陷 文件权限修改 系统服务披露 不常用的端口
签名二进制代理执行 图像文件执行选项注入 有效帐户 文件系统逻辑偏移 系统时间披露 网络服务
签名脚本代理执行 LSASS 驱动程序 Web Shell 隐藏文件和目录 域信任披露 域生成算法
第三方软件 登录脚本 PPID欺骗 图像文件执行选项注入 绕过虚拟化/沙盒
可信的开发者工具 修改现有服务 PowerShell配置文件 阻塞指示器 软件披露
用户执行 Netsh Helper DLL 从工具中删除指示器
Windows Management Instrumentation 新建服务 删除主机上的指示器
Windows 远程管理 Office 应用程序启动 间接命令执行
XSL 脚本处理 路径拦截 安装根证书
端口监视器 InstallUtil
冗余访问 伪装
注册表 Run 键/启动文件夹 修改注册表
SIP 和信任提供商劫持 MSHTA
计划任务 NTFS 文件属性
屏幕保护 网络共享连接删除
安全支持提供商 混淆的文件或信息
服务注册表权限缺陷 Process Doppelgänging
快捷方式修改 进程镂空
系统固件 进程注入
时间服务器 冗余访问
有效帐户 Regsvcs / Regasm
Web Shell REGSVR32
Windows 管理规范事件订阅 Rootkit
Winlogon Helper DLL Rundll32
外部远程服务 SIP 和信任提供商劫持
PowerShell配置文件 脚本
server应用组件 签名二进制代理执行
签名脚本代理执行
软件包装
模板注入
Timestomp
可信的开发者工具
有效帐户
网络服务
XSL 脚本处理
执行Guardrails
策略组修改
绕过虚拟化/沙盒
传递后编译
PPID欺骗
Linux
初始访问 执行 持久化 特权提升 防御绕过 凭据访问 披露 横向移动 收集 数据渗漏 命令与控制 影响
路过式攻击 命令行界面 .bash_profile 和。bashrc 特权提升的利用 二进制填充 Bash 历史 帐户披露 应用部署软件 音频捕获 自动化数据渗漏 常用端口 帐户访问权限删除
利用面向公众的应用程序 利用客户端执行 Bootkit 进程注入 清除命令历史 暴力破解 浏览器书签披露 远程服务的利用 自动化收集 数据压缩 通过可移动媒体进行通信 数据销毁
硬件添加 图形用户界面 浏览器扩展 Setuid 和 Setgid 禁用安全工具 凭据转储 文件和目录披露 远程文件复制 剪贴板数据 数据加密 连接代理 加密数据以产生影响
钓鱼式钓鱼附件 本地作业调度 新建帐号 Sudo 缓存 防御规避的利用 文件中的凭据 网络服务扫描 远程服务 数据暂存 数据传输大小限制 自定义命令与控制协议 损坏
鱼叉式钓鱼链接 脚本 隐藏文件和目录 Sudo 文件删除 对证书访问的利用 网络嗅探 SSH 劫持 来自信息库的数据 备用协议上的数据渗漏 自定义加密协议 磁盘内容擦除
通过服务进行鱼叉式网络钓鱼 Source 内核模块和扩展 有效帐户 文件权限修改 输入捕获 密码策略披露 第三方软件 来自本地系统的数据 命令与控制通道的数据渗漏 数据编码 磁盘结构擦除
供应链攻击 文件名后面的空格 本地作业调度 Web Shell HISTCONTROL 网络嗅探 权限组披露 内置鱼叉 网络共享驱动器中的数据 其他网络媒介的数据渗漏 数据混淆 终端式拒绝服务
可信的关系 第三方软件 端口敲击 隐藏文件和目录 私钥 进程披露 来自可移动媒体的数据 物理介质的数据渗漏 域前置 固件损坏
有效帐户 Trap 冗余访问 从工具中删除指示器 双因素身份验证拦截 远程系统披露 输入捕获 预定传输 备用信道 禁止系统恢复
用户执行 Setuid 和 Setgid 删除主机上的指示器 Web浏览器凭证 系统信息披露 屏幕截图 多段信道 网络式拒绝服务
Trap 安装根证书 窃取Web会话Cookie 系统网络配置披露 多跳代理 资源劫持
有效帐户 伪装 系统网络连接披露 多频带通信 运行时数据处理
Web Shell 混淆的文件或信息 系统所有者/用户披露 多层加密 存储数据操作
系统服务 端口敲击 软件披露 端口敲击 系统关机/重启
server应用组件 进程注入 远程访问工具 传输数据操作
冗余访问 远程文件复制
Rootkit 标准应用层协议
脚本 标准密码协议
文件名后面的空格 标准非应用层协议
Timestomp 不常用的端口
有效帐户 网络服务
网络服务 域生成算法
执行Guardrails
传递后编译
macOS
初始访问 执行 持久化 特权提升 防御绕过 凭据访问 披露 横向移动 收集 数据渗漏 命令与控制 影响
路过式攻击 AppleScript .bash_profile 和。bashrc Dylib 劫持 二进制填充 Bash 历史 帐户披露 AppleScript 音频捕获 自动化数据渗漏 常用端口 帐户访问权限删除
利用面向公众的应用程序 命令行界面 浏览器扩展 利用特权提升 清除命令历史 爆破 应用窗口披露 应用部署软件 自动收集 数据压缩 通过可移动媒体进行通信 数据销毁
硬件添加 利用客户端执行 创建帐号 启动守护进程 代码签名 凭据转储 浏览器书签披露 远程服务的利用 剪贴板数据 数据加密 连接代理 加密数据以产生影响
鱼叉式钓鱼附件 图形用户界面 Dylib 劫持 修改 Plist 禁用安全工具 文件中的凭据 文件和目录披露 登录脚本 数据暂存 数据传输大小限制 自定义命令与控制协议 损坏
鱼叉式钓鱼链接 Launchctl 隐藏文件和目录 进程注入 防御规避的利用 对证书访问的利用 网络服务扫描 远程文件复制 信息存储库中的数据 备用协议的数据渗漏 自定义加密协议 磁盘内容擦除
通过服务进行鱼叉式网络钓鱼 本地作业调度 内核模块和扩展 Setuid 和 Setgid 文件删除 输入捕获 网络共享披露 远程服务 来自本地系统的数据 命令与控制通道的数据渗漏 数据编码 磁盘结构擦除
供应链攻击 脚本 LC_LOAD_DYLIB 添加 启动项目 文件权限修改 输入提示 网络嗅探 SSH 劫持 网络共享驱动器中的数据 其他网络介质的数据渗漏 数据混淆 终端式拒绝服务
可信关系 资源 启动代理 Sudo 缓存 关守旁路 Keychain 密码策略披露 第三方软件 来自可移动媒体的数据 物理介质的数据渗漏 域前置 固件损坏
有效帐户 文件名后面的空格 启动守护进程 Sudo HISTCONTROL 网络嗅探 权限组披露 内置鱼叉 输入捕获 计划传输 备用信道 禁止系统恢复
第三方软件 Launchctl 有效帐户 隐藏文件和目录 私钥 进程披露 屏幕截图 多段信道 网络式拒绝服务
陷阱 本地作业调度 Web Shell 隐藏的用户 安全记忆 远程系统披露 视频捕获 多跳代理 资源劫持
用户执行 登录项 Elevated Execution with Prompt 隐藏的窗口 双因素身份验证拦截 安全软件披露 多频带通信 运行时数据处理
登录脚本 Emond 从工具中删除指示器 Web浏览器凭证 系统信息披露 多层加密 存储数据操作
修改 Plist 删除主机上的指示器 窃取Web会话Cookie 系统网络配置披露 端口敲击 系统关机/重启
端口敲击 安装根证书 系统网络连接披露 远程访问工具 传输数据操作
Rc.common LC_MAIN 劫持 系统所有者/用户披露 远程文件复制
重启应用程序 Launchctl 绕过虚拟化/沙盒 标准应用层协议
冗余访问 伪装 软件披露 标准密码协议
Setuid 和 Setgid 混淆的文件或信息 标准非应用层协议
启动项 修改 Plist 不常用的端口
Trap 端口敲击 网络服务
有效帐户 进程注入 域生成算法
Web Shell 冗余访问
Emond Rootkit
脚本
文件名后面的空格
有效帐户
网络服务
Gatekeeper 绕过
绕过虚拟化/沙盒
执行Guardrails
传递后编译
初始访问 持久化 特权提升 防御规避 凭据访问 披露 横向运动 Effects 收集信息 数据渗漏 命令与控制 影响
通过授权的应用商店提供恶意应用程序 滥用设备管理员访问以防止删除 利用操作系统漏洞 应用程序披露 滥用辅助功能 应用程序披露 通过 USB 连接攻击 PC 加密文件获取赎金 滥用辅助功能 备用网络媒体 备用网络媒体 剪贴板修改
通过其他方式提供恶意应用程序 应用程序自动启动设备启动 利用 TEE 漏洞 伪装 root/越狱指示器 访问设备日志中的敏感数据 设备类型披露 利用企业资源 产生欺诈性广告收入 访问日历条目 常用端口 常用端口 加密数据以产生影响
路过式攻击 修改操作系统内核或引导分区 在运行时下载新代码 访问文件中的敏感数据或凭据 文件和目录披露 锁定用户的设备 访问呼叫日志 标准应用层协议 标准应用层协议 删除设备数据
通过充电站或 PC 进行利用 修改系统分区 安装不安全或恶意配置 Android Intent 劫持 本地网络配置披露 操纵 App Store 排名或评级 访问联系人列表 数据加密 web服务 设备锁定
通过无线电接口利用 修改可信执行环境 修改操作系统内核或引导分区 捕获剪贴板数据 本地网络连接披露 高级短信收费欺诈 访问设备日志中的敏感数据 不常用端口 产生欺诈性广告收入
安装不安全或恶意配置 修改缓存的可执行代码 修改系统分区 获取短信 网络服务扫描 擦除设备数据 访问文件中的敏感数据或凭据 域生成算法 操纵App Store排名或评级
绕过锁屏 修改系统分区 修改可信执行环境 利用 TEE 漏洞 进程披露 获取剪贴板数据 标准加密协议 高级短信收费欺诈
重新包装的应用程序 混淆或加密的有效载荷 恶意第三方键盘应用程序 系统信息披露 获取短信 修改系统分区
供应链攻击 禁止应用程序图标 网络流量捕获或重定向 绕过分析环境 位置跟踪 input注入
设备锁定 URL Scheme 劫持 恶意第三方键盘应用程序
修改系统分区 用户界面欺骗 麦克风或相机录音
input注入 访问通知 网络流量捕获或重定向
绕过分析环境 网络信息披露
拍摄相机
屏幕截图
访问通知
本地系统数据
优先级定义规划 优先级定义方向 目标选择 技术信息收集 人员信息收集 组织信息收集 技术弱点识别 人员弱点识别 组织弱点识别 攻击者 OPSEC
建立和维护基础设施
角色建立 构建能力 测试能力 发布能力
评估 KITs / KIQs 效益 分配 KIT,KIQ 和/或情报要求 确定方法/攻击向量 获取 OSINT 数据集和信息 获取 OSINT 数据集和信息 获取 OSINT 数据集和信息 分析应用程序安全状况 分析组织技能组合和缺陷 分析业务流程 获取和/或使用第三方基础架构服务 获取和/或使用第三方基础架构服务 建立社交网络角色 构建和配置交付系统 查看日志和剩余痕迹 传播可移动媒体
评估当前的资产、需要和欲望 接收KITs/KIQs并确定需求 确定最高级别的战术要素 进行主动扫描 汇总个人的数字足迹 进行社会工程 分析架构和配置状态 分析社交和业务关系,兴趣和从属关系 分析组织技能组合和缺陷 获取和/或使用第三方软件服务 获取和/或使用第三方软件服务 选择预先泄露的移动应用开发者帐户凭据或签名密钥 建立或获取漏洞利用 测试应用程序商店执行自动移动应用程序安全性分析的能力 分发恶意软件开发工具
评估感兴趣的领导领域 提交 KIT,KIQ 和情报要求 确定操作元素 进行被动扫描 进行社会工程 确定第三方基础架构服务 分析收集的数据 评估定位选项 分析外包能力的存在 获取或盗取第三方签名证书 获取或盗取第三方签名证书 选择前渗透的角色和附属帐户 C2 协议开发 测试回调功能 朋友/关注/连接目标
将 KIT / KIQ 分配到类别中 任务要求 确定二级战术要素 进行社会工程 确定业务关系 确定 IT 管理的集中化 分析硬件/软件安全防御能力 评估商业交易创造的机会 匿名服务 购买域名 开发社交网络人物数字足迹 攻击第三方或封闭源漏洞/漏洞利用信息 在各种执行环境中测试恶意软件 硬件或软件供应链植入
进行成本/效益分析 确定战略目标 确定第三方基础架构服务 识别组/角色 确定物理位置 分析组织技能组合和缺陷 评估物理位置的安全状况 常见的高容量协议和软件 攻击第三方基础设施以支持交付 朋友/关注/连接目标 创建自定义有效负载 测试恶意软件以逃避检测 端口重定向器
制定实施计划 确定域和 IP 地址空间 确定职位发布和需求/差距 垃圾箱潜水 识别第三方软件库中的漏洞 评估第三方供应商的漏洞 攻击第三方基础设施以支持交付 创建备份基础架构 获取 Apple iOS 企业分发密钥对和证书 创建受感染的可移动媒 测试物理访问 上传,安装和配置软件/工具
制定战略计划 确定外部网络信任依赖关系 确定感兴趣的人 识别业务流程/节奏 研究相关漏洞/ CVE DNSCalc 域名注册劫持 发现新漏洞并监控漏洞利用程序提供商论坛 测试文件上载/电子邮件过滤器的签名检测
得出情报要求 确定固件版本 识别具有权限/特权的人员 确定业务关系 研究安全厂商的可见性差距 数据隐藏 动态 DNS 确定构建功能所需的资源
开发 KITs / KIQs 发现目标登录/电子邮件地址格式 识别敏感的人员信息 确定职位发布和需求/差距 测试签名检测 域生成算法(DGA) 安装和配置硬件,网络和系统 获取/重用有效载荷
生成分析人员情报要求 枚举客户端配置 确定供应链 确定供应链 动态 DNS 混淆基础设施 发布折衷工具开发
确定分析人员级别的差距 枚举面向外部的软件应用程序技术,语言和依赖项 我的社交媒体 获取模板/品牌材料 Fast Flux DNS 获得 booter / stressor 订阅 远程访问工具开发
确定差距领域 确定职位发布和需求/差距 基于主机的隐藏技术 采购所需的设备和软件
接收运营商 KITs / KIQs 任务 确定安全防御能力 不可归因的凭据 域名的 SSL 证书获取
确定供应链 基于网络的隐藏技术 信任中断的 SSL 证书获取
确定技术使用模式 非传统或较少应占的付款方式 影子 DNS
识别网络防御服务 OS 供应商提供的通信渠道 使用多个 DNS 基础结构
映射网络拓扑 混淆基础设施
挖掘技术博客/论坛 混淆运营基础设施
获取域/ IP 注册信息 对代码进行模糊处理或加密
针对信息的鱼叉式网页钓鱼 混淆或加密
私人 whois 服务
代理/协议中继
保护和保护基础设施