2. Desarrollo de recursos: Técnicas que un adversario utiliza cuando está tratando de establecer recursos que puede utilizar para luego apoyar diferentes etapas de sus operaciones. Estos recursos pueden ser aprovechados por el adversario para usarlos en otras fases del ciclo de vida del adversario, como el uso de dominios comprados para admitir Comando y Control, cuentas de correo electrónico para phishing como parte del acceso inicial o el robo de certificados de firma de código para ayudar con la evasión de defensa.

3. Acceso inicial: Técnicas que un adversario utiliza cuando está tratando de entrar en su red para establecer ese punto de apoyo inicial dentro de la red. Los puntos de apoyo obtenidos a través del acceso inicial pueden permitir el acceso continuo, como cuentas válidas y el uso de servicios remotos externos, o pueden ser de uso limitado debido al cambio de contraseñas. Se puede obtener explotando la aplicación pública, phishing / spear phishing, etc.

4. Ejecución: Técnicas en las que un adversario está tratando de ejecutar un código malicioso controlado por el adversario en un sistema local o remoto. Un adversario puede usar una herramienta de acceso remoto para ejecutar un script de PowerShell que realiza la detección remota del sistema, o puede abusar del shell de comandos de Windows, scripts de Python o scripts de Java.

5. Persistencia: Técnicas utilizadas por un adversario para mantener el acceso persistente de un sistema comprometido. Se aseguran de que se reinicien, cambien las credenciales y otras interrupciones que podrían cortar su acceso. Se puede lograr agregando el rol de administrador global de Office 365, el arranque o la ejecución de inicio de sesión automático.

6. Escalada de privilegios: Técnicas utilizadas por un adversario para obtener privilegios de nivel superior en un sistema o red. Los adversarios comienzan con la entrada y exploración de una red con acceso sin privilegios, pero requiere permisos elevados para obtener información confidencial y completar el ataque. Se logra aprovechando las debilidades, configuraciones erróneas y vulnerabilidades del sistema.

7. Evasión de defensa: Técnicas en las que el adversario está tratando de evitar ser detectado a través de todo el ataque. Los adversarios también aprovechan y abusan de los procesos confiables para ocultar y enmascarar su malware. Puede omitir los mecanismos de Control de cuentas de usuario (UAC) para elevar los privilegios de proceso en el sistema.

8. Acceso a credenciales: Técnicas para robar credenciales como nombres de cuenta y contraseñas. Puede usar técnicas como el registro de teclas o el volcado de credenciales, el ataque de fuerza bruta, la autenticación forzada, etc.

9. Descubrimiento: Técnicas en las que el adversario está tratando de descubrir su entorno y obtener conocimientos sobre el sistema y la red interna. Por lo tanto, puede observar el entorno y prepararse antes de decidir cómo actuar.

10. Movimiento lateral: Técnicas utilizadas por el adversario cuando está tratando de moverse a través de nuestro entorno después de comprometerlo. El adversario generalmente tiene que pivotar a través de múltiples sistemas y cuentas para encontrar el eslabón más débil en la cadena de máquinas, para finalmente alcanzar su objetivo final. Pueden instalar sus propias herramientas de acceso remoto para hacer esto. También puede usar técnicas como el secuestro de sesiones de servicio remoto, pasar el hash, etc.

11. Colección: Técnicas utilizadas por el adversario cuando está tratando de recopilar datos relevantes que les ayudarán con su objetivo final. Pueden usar captura de entrada, captura de audio, Man-in-the-Middle, etc.

12. Comando y control: Técnicas utilizadas por el adversario para comunicarse con sistemas comprometidos para controlarlos. Este tipo de canal proporciona a los atacantes acceso remoto directo al sistema comprometido en el entorno de destino. Hay muchas maneras en que un adversario puede establecer el comando y el control con varios niveles de sigilo dependiendo de la estructura de la red y las defensas de la víctima.

13. Exfiltración: Técnicas utilizadas por el adversario para robar datos de nuestra red. La mayoría de las veces los adversarios empaquetan datos recopilados para evitar la detección mientras los eliminan. La compresión y el cifrado se pueden utilizar para eso. Para obtener datos de la red de una víctima, el adversario generalmente los transfiere a través de su canal de comando y control o un canal alternativo. También se puede hacer a través de medios físicos o a través de servicios web.