主动扫描

收集受害者主机信息

收集受害者身份信息

收集受害者网络信息

收集受害者组织信息

网络钓鱼获取信息

搜索私密来源

搜索开放技术数据库

搜索公开的网站/域名

搜索受害者拥有的网站

构建基础设施

入侵账户

损害基础设施

培养能力

获得能力

建立账户

开发能力

路过损害（水坑攻击）

利用面向公众的应用程序 （漏洞利用）

外部远程服务

硬件添加

网络钓鱼（鱼叉攻击）

通过可移动媒体进行复制

供应链损害

信任关系

有效账户

命令和脚本解释器

容器管理命令

部署容器

利用客户端执行

进程间通信

原生 API

计划任务/作业

共享模块

软件部署工具

系统服务

用户执行

Windows 管理规范

账户操纵

位工作

引导或登录自动启动执行

引导或登录初始化脚本

浏览器扩展

妥协客户端软件二进制

创建帐户

创建或修改系统进程

事件触发执行

外部远程服务

劫持执行流程

植入内部图像

修改认证流程

Office 应用程序启动

操作系统前引导

计划任务/作业

服务器软件组件

交通信号

有效账户

滥用高程控制机制

访问令牌操作

引导或登录自动启动执行

引导或登录初始化脚本

创建或修改系统进程

域策略修改

宿主跳转

事件触发执行

提权利用

劫持执行流程

工艺注入

计划任务/作业

有效账户

滥用高程控制机制

访问令牌操作

位工作

在主机上构建映像

调试器规避

混淆/解码文件或信息

部署容器

直接卷访问

域策略修改

执行护栏

防御规避利用

文件和目录权限修改

隐藏文件

劫持执行流程

削弱防御

主机指示灯移除

间接命令执行

伪装

修改认证流程

修改云计算基础设施

修改注册表

修改系统镜像

网络边界桥接

plist文件修改

操作系统前引导

脚本注入

反射代码加载

流氓域控制器

Rootkit

颠覆信任控制

系统二进制代理执行

系统脚本代理执行

模板注入

受信任应用程序的代理执行

未使用/不支持的云区域

使用替代认证材料

有效账户

虚拟化/沙盒规避

弱加密

XSL 脚本处理

中间攻击

暴力破解

来自密码存储的凭据

凭据访问的利用

强制认证

伪造网络凭证

输入捕捉

修改认证流程

多重身份验证拦截

多因素身份验证请求生成

网络嗅探

操作系统凭证转储

窃取应用程序访问令牌

窃取或伪造 Kerberos 口令

窃取网络会话 Cookie

无担保凭证

账户发现

应用程序窗口发现

浏览器书签发现

云基础设施发现

云服务仪表板

云服务发现

云存储对象发现

容器和资源发现

调试器规避

域信任发现

文件和目录发现

组策略发现

网络服务发现

网络共享发现

网络嗅探

密码策略发现

外围设备发现

权限组发现

过程发现

查询注册表

远程系统发现

软件发现

系统信息发现

系统位置发现

系统网络配置发现

系统网络连接发现

系统所有者/用户发现

系统服务发现

系统时间发现

虚拟化/沙盒规避

远程服务的利用

内部鱼叉式钓鱼

横向工具转移

远程服务会话劫持

远程服务

通过可移动媒体进行复制

软件部署工具

污染共享内容

使用替代认证材料

中间攻击

归档收集的数据

音频捕捉

自动收集

浏览器会话劫持

剪贴板数据

来自 Cloud Storage 对象的数据

来自配置存储库的数据

信息库中的数据

来自本地系统的数据

来自网络共享驱动器的

数据

来自可移动媒体的数据

数据暂存

电子邮件收集

输入捕捉

屏幕截图

视频截取

应用层协议

通过可移动媒体交流

数据编码

数据混淆

动态分辨率

加密频道

后备频道

入口工具转移

多级通道

非应用层协议

非标准端口

协议隧道

代理

远程访问软件

交通信号

网络服务

自动渗出

数据传输大小限制

通过替代协议进行渗透

通过 C2 通道渗出

通过其他网络介质

渗出

物理介质渗出

通过 Web 服务进行

渗透

预定转移

将数据传输到云帐户

帐户访问删除

数据销毁

为影响而加密的数据

数据处理

污损

磁盘擦除

端点拒绝服务

固件损坏

禁止系统恢复

网络拒绝服务

资源劫持

服务停止

系统关机/重启