Please enable JavaScript.
Coggle requires JavaScript to display documents.
ATT&CK OneEdr Linux - Coggle Diagram
ATT&CK OneEdr Linux
权限提升
事件触发执行 :check:
漏洞利用权限提权 :check:
创建或修改系统进程 :check:
劫持代码执行流 :check:
开机或登录自启动脚本 :check:
进程注入 :check:
开机或登录自启动程序 :check:
计划任务 :check:
滥用权限提升机制 :check:
setgid setuid
sudo sudo caching
bypass账号控制
有效账号 :check:
凭证访问
篡改认证进程 :check:
pam
网络嗅探 :check:
中间人攻击 :green_cross:
系统凭证转储 :check:
输入捕获 :green_cross:
盗取web会话cookie :no_entry:
凭证访问的漏洞利用 :check:
二次验证中继 :no_entry:
密码存储凭证 :check:
不安全的凭证 :check:
暴力破解 :check:
躲避检测
清除攻击痕迹 :check:
伪装行为 :check:
削弱/关闭安全防御措施 :check:
篡改认证进程 :check:
pam :check:
劫持代码执行流 :check:
bootkit :check:
隐藏实体 :check:
进程注入 :check:
修改文件目录权限 :check:
Rootkit :check:
绕过漏洞利用防御限制 :check:
伪装可信数据 :check:
执行过程防护 :check:
通信机制 :check:
port knocking
混淆/编码文件或信息 :check:
有效账号 :check:
反混淆/解码文件或信息 :check:
虚拟化/沙箱执行 :check:
docker elf木马
滥用权限提升机制 :check:
初始访问
硬件添加 :check:
usb硬盘设备插入 :check:
钓鱼式钓鱼附件 :no_entry:
利用面向公众的应用程序 :check:
鱼叉式钓鱼链接 :no_entry:
有效帐户 :check:
供应链攻击 :check:
可信的关系 :green_cross:
拓展的远程服务vpn代理类 :check:
执行
脚本执行 :check:
python :check:
perl :check:
unix shell :check:
php :check:
漏洞利用执行 :check:
原始api执行 :check:
execve
计划任务 :check:
cron :check:
软件部署工具执行 :check:
用户执行 :check:
持久化
控制系统服务账号 :check:
开机或登录自启动程序 :check:
开机或登录自启动脚本 :check:
浏览器拓展 :green_cross:
不可信的应用软件二进制程序 :check:
创建账号 :check:
创建或修改系统进程 :check:
事件触发执行 :check:
拓展的远程服务 :green_cross:
劫持代码执行流 :check:
bootkit :check:
计划任务 :check:
服务器应用组件 :check:
port knocking :check:
攻击影响
破坏数据 :green_cross:
清除硬盘内容 :check:
加密勒索 :check:
清除磁盘结构 :red_cross:
销毁数据 :check:
端上拒绝服务 :check:
账号访问权限删除 :green_cross:
固件损坏 :no_entry:
禁止系统恢复 : : :red_cross:
网络拒绝服务 :no_entry:
资源劫持 :check:
停止软件服务 :check:
系统关机重启 :green_cross:
横向移动
利用远程服务漏洞 :check:
内部鱼叉钓鱼 :no_entry:
横向工具传输 :green_cross:
远程服务会话劫持 :no_entry:
远程服务 :check:
软件部署工具 :green_cross:
命令与控制
数据编码 :no_entry:
数据混淆 :no_entry:
移动设备通信 :no_entry:
动态解析 :check:
应用层协议 :no_entry:
编码通道 :no_entry:
非应用层协议 :check:
非标端口 :check:
协议隧道 :no_entry:
代理 :check:
远程访问软件 :check:
port knocking :no_entry:
web服务 :green_cross:
信息探测
网络服务扫描 :check:
密码策略 :check:
网络嗅探 :check:
文件核目录 :check:
进程识别 :green_cross:
浏览器书签 :green_cross:
远程服务 :green_cross:
账号 :check:
软件 :green_cross:
系统信息 :green_cross:
虚拟化沙箱配置 :green_cross:
系统用户拥有者 :check:
网络共享 :green_cross:
系统网络连接 :green_cross:
组权限 :green_cross:
系统网络配置 :green_cross:
数据传输
数据压缩 :no_entry:
通过物理媒介 :check:
数据加密 :no_entry:
命令与控制通道的数据泄露 :check:
限制数据传输大小 :no_entry:
通过web服务泄露 :green_cross:
自动化数据传输泄露 :no_entry:
定时传输 : :green_cross: