RedBook
Index
正在初始化搜索引擎
Toky/RedBook
RedBook
Toky/RedBook
👹RedBook
0x1 侦察
0x1 侦察
T1589-001-收集受害者身份信息-凭证
T1589-002-收集受害者身份信息-邮箱地址
T1589-003-收集受害者身份信息-员工姓名
T1590-001-收集受害者网络信息-域属性
T1590-002-收集受害者网络信息-DNS
T1590-001-收集受害者网络信息-网络信任关系
T1590-004-收集受害者网络信息-网络拓扑
T1590-005-收集受害者网络信息-IP地址
T1590-006-收集受害者网络信息-网络安全设备
T1591-001-收集受害者组织信息-确定物理位置
T1591-002-收集受害者组织信息-业务关系
T1591-003-收集受害者组织信息-确定业务节奏
T1591-004-收集受害者组织信息-确定角色
T1592-001-收集受害者主机信息-硬件信息
T1592-002-收集受害者主机信息-软件信息
T1592-003-收集受害者主机信息-固件信息
T1592-004-收集受害者主机信息-客户端配置
T1593-001-搜索开放的域/网站-社交媒体
T1593-002-搜索开放的域/网站-搜索引擎
T1594-搜索受害者所拥有的网站
T1595-001-主动扫描_扫描地址段
T1595-002-主动扫描_漏洞扫描
T1596-001-搜索开放的技术数据库-DNS/被动DNS
T1596-002-搜索开放的技术数据库-WHOIS
T1596-003-搜索开放的技术数据库-数字证书
T1596-004-搜索开放的技术数据库-CDN
T1596-005-搜索开放的技术数据库-扫描数据库
0x2 资源开发
0x2 资源开发
T1583-001-购买基础设施-域名
T1583-002-购买基础设施-DNS服务
T1583-003-购买基础设施-虚拟专用服务器
T1583-004-购买基础设施-服务器
T1583-005-购买基础设施-僵尸网络
T1583-006-购买基础设施-web服务
T1584-001-盗取基础设施-域名
T1584-002-盗取基础设施-DNS服务
T1584-003-盗取基础设施-虚拟专用服务器
T1584-004-盗取基础设施-服务器
T1584-005-盗取基础设施-僵尸网络
T1584-006-盗取基础设施-web服务
T1585-001-创建账户-社交媒体账户
T1583-002-盗取账户-电子邮箱账户
T1586-001-盗取账户-社交媒体账户
T1586-002-盗取账户-电子邮箱账户
T1587-001-开发能力-恶意软件
T1587-002-开发能力-代码签名证书
T1587-003-开发能力-数字证书
T1587-004-开发能力-漏洞利用
T1588-001-获取能力-恶意软件
T1588-002-获取能力-工具
T1588-003-获取能力-代码签名证书
T1588-004-获取能力-数字证书
T1588-005-获取能力-漏洞利用
T1588-006-获取能力-漏洞
T1608-001-阶段性能力-上传恶意软件
T1608-002-阶段性能力-上传工具
T1608-003-阶段性能力-安装数字证书
T1608-004-阶段性能力-Drive-by Target
T1608-005-阶段性能力-Link Target
0x3 初始访问
0x3 初始访问
T1078-003-windows-多账户同时登陆
T1078-003-win-来自公网的登陆失败行为
T1078-003-win-账户登录失败
T1133-外部远程服务
T1190-CVE-2018-2894-Weblogic任意文件上传检测
T1190-CVE-2019-19781远程代码执行
T1190-CVE-2019-3398 Confluence路径穿越漏洞
T1190-CVE-2020-0688漏洞利用检测
T1190-CVE-2020-14882-Weblogic Console HTTP 协议远程代码执行漏洞
T1190-CVE-2020-1938漏洞利用检测
T1190-CVE-2020-5902-F5_BIG-IP-远程代码执行
T1190-CVE-2020-8193/CVE-2020-8195
T1190-CVE-2021-2109_Weblogic_LDAP_远程代码执行漏洞
T1190-CVE-2021-21972 Vmware vcenter未授权任意文件/RCE漏洞
T1190-JumpServer v2.6.1 RCE攻击检测
T1190-检测SQL server滥用
T1190-Thinkphp 5.x远程命令执行漏洞检测
T1190-vBulletin5.X-RCE检测
T1190-可疑的SQL错误消息
T1190-通达V11.6-RCE漏洞
T1190-邮箱暴力破解攻击流量分析
T1505-003-Regeorg-HTTP隧道检测
T1505-003-web服务产生的可疑进程
T1505-003-windows下webshell检测
T1566-001-win-可疑的MS Office子进程
0x4 执行
0x4 执行
T1027-004-win-基于白名单Csc.exe配置payload
T1047-win-基于白名单WMIC执行payload
T1047-win-通过WMIC创建远程进程
T1053-002-win-交互式AT计划任务
T1053-002-win-通过GPO计划任务进行大规模的持久性和执行
T1053-005-win-schtasks本地计划任务
T1059-win-基于白名单Powershell.exe执行Payload
T1059-001-win-检测Powershell2.0版本执行情况
T1059-001-win-检测Powershell下载文件
T1059-004-linux-脚本
T1059-win-基于白名单Certutil.exe执行Payload
T1059-win-基于白名单Ftp.exe执行Payload
T1059-windows-进程生成CMD
T1218-011-win-基于白名单Zipfldr.dll执行Payload
T1086-windows-powerhsell
T1127-win-基于白名单Msbuild.exe执行payload
T1154-linux-trap
T1218-001-win-基于白名单Compiler.exe执行payload
T1218-003-win-基于白名单Cmstp.exe执行Payload
T1218-004-win-基于白名单Installutil.exe执行payload
T1218-005-win-基于白名单Mshta.exe执行payload
T1218-007-win-基于白名单Msiexec执行Payload
T1218-008-win-基于白名单Odbcconf.exe执行Payload
T11218-009-win-基于白名单Regasm.exe执行payload
T1218-010-win-基于白名单Regsvr32执行payload
T1218-011-win-基于白名单Rundll32.exe执行payload
T1218-011-win-基于白名单url.dll执行payload
T1218-011-win-通过Rundll32的异常网络链接
0x5 权限维持
0x5 权限维持
T1078-001-win-DSRM密码重置
T1098-Windows-AdminSDHolder
T1098-win-万能密码
T1098-win-账户操作
T1133-外部远程服务
T1136-001-linux-创建用户
T1136-001-win-创建本地账户
T1197-win-BITS Jobs权限维持
T1546-004-linux-.bash_profile和.bashrc
T1546-007-win-通过netsh key持久化
T1547-005-win-SSP权限维持
T1548-001-linux-Setuid and Setgid
T1550-003-win-黄金票据
0x6 权限提升
0x6 权限提升
T1078-003-windows-多账户同时登陆
T1078-003-win-可疑的失败登录行为
T1078-003-windows-添加用户到本地组
T1134-001-win-CVE-2020-1472
T1134-005-win-SID历史记录注入
T1212-windows-MS14-068-KEKEO
T1212-windows-MS14-068-PYKEK
T1505-003-webshell-冰蝎
T1505-003-webshell-冰蝎
T1548-003-linux-CVE-2019-14287
T1169-linux-Sudo
0x7 逃避追踪
0x7 逃避追踪
T1027-003-win-Ping Hex IP
T1027-005-linux-主机上的监测组件删除
T1027-005-windows-SDelete删除文件
T1036-windows-隐藏用户账户带$符号
T1070-001-win-使用wevtutil命令删除日志
T1070-001-win-检测cipher.exe删除数据
T1070-001-windows-清除事件日志
T1070-003-linux-清除历史记录
T1070-004-linux-文件删除
T1070-004-win-使用Fsutil删除卷USN日志
T1070-004-win-文件删除
T1140-win-去混淆/解码文件或信息
T1202-win-基于白名单Forfiles执行payload
T1202-win-基于白名单Pcalua执行payload
T1218-002-win-签名的二进制代理执行:控制面板
T1218-002-win-签名的二进制代理执行:控制面板
T1222-001-win-文件权限修改
T1222-002-linux-文件权限修改
T1562-001-windows-绕过sysmon
T1562-001-windows-停止Windows防御服务
T1562-003-linux-Histcontrol
T1562-006-windows-停止日志采集
T1564-001-linux-隐藏文件和目录
T1564-001-win-发现攻击者在回收站中隐藏恶意软件
T1564-001-win-隐藏的文件和目录
T1564-003-windwos-隐藏窗口
0x8 凭证获取
0x8 凭证获取
T1003-002--windows-基于SAM-reg凭证获取
T1003-003-windows-基于NTDS凭证获取1
T1003-003-windows-基于NTDS凭证转储2
T1003-003-win-使用vssown.vbs获得NTDS.dit文件
T1003-003-win-使用ntdsutil获得NTDS.dit文件
T1003-003-win-基于应用日志检测Ntdsutil获取凭证
T1003-004-windows-基于LSA凭证获取
T1003-005-win-DCC2-mimikatz凭证获取
T1003-006-windows-基于DCsync凭证获取
T1003-windows-Procdump明文凭证
T1003-win-vaultcmd获取系统凭据基本信息
T1040-linux-网络嗅探
T1098-win-万能密码
T1098-win-账户操作
T1110-003-linux-ssh爆破
T1110-003-windows-密码喷射
T1110-暴力破解
T1555-003-windows-来自web浏览器的凭证
T1081-linux-文件中的凭据
T1552-001-win-文件中的凭证
T1552-002-win-注册表中的凭证
T1552-003-linux-Bash历史记录
T1552-004-linux-私钥
T1552-006-windows-基于GPP凭证获取
T1558-003-windows-基于SPN凭证获取
T1558-003-win-kerberosing
0x9 发现
0x9 发现
T1007-系统服务发现
T1010-win-应用程序窗口发现
T1012-win-查询注册表
T1016-win-系统网络配置发现
T1018-win-检测nbtscan活动
T1018-win-远程系统发现
T1033-系统所有者/用户发现
T1040-linux-网络嗅探
T1049/1069-bloodhound使用
T1049-系统网络连接发现
T1057-win-进程发现
T1069-001-win-AD特权组/用户枚举
T1069-002-AD特权组/用户枚举
T1082-win-系统信息发现
T1083-win-文件和目录发现
T1087-001-linux-本地账户发现
T1114-001-win-本地电子邮件收集
T1119-win-自动收集
T1123-win-音频收集
T1124-系统时间发现
T1135-win-网络共享发现
T1201-win-密码策略发现
T1482-win-活动目录信息获取检测
T1518-001-win-安全软件发现
T1518-win-软件发现
T1590-win-DNS记录获取
0xA 横向移动
0xA 横向移动
T1021-002-win-基于白名单PsExec执行payload
T1021-002-windows-管理员共享
T1021-006-win-远程powershell会话
T1210-win-异常的SMB链接行为
T1210-win-检测到匿名计算机账户更改的使用
T1550-002-windows-哈希传递
0xB 命令与控制
0xB 命令与控制
T1071-002-win-内网FTP链接到公网行为
T1071-004-win-内主机向公网DNS发起可疑请求行为
T1090-001-win-链接代理
T1105-Windows Update被发现可滥用于执行恶意程序行为检测
T1105-win-命令提示符网络链接
0xC 渗出
0xC 渗出
Index
0xD 影响
0xD 影响
T1489-win-停止服务
Index
暂无