Arten schädlichen Verhaltens

Auf dieser Seite werden die Namen erläutert, die wir für schädliches Verhalten verwenden, das auf Computern oder Servern erkannt wurde.

Anmerkung Diese Seite gilt nicht für die Legacy-Funktion „Erkennung schädlichen Verhaltens (HIPS)“ in Sophos Central.

Unsere Verhaltensklassifizierungen entsprechen dem „MITRE ATT&CK“-Framework. Wir melden alle Erkennungen anhand eines Namensstandards, der Ihnen Informationen über den Angriff liefert.

Es können zwei Erkennungsarten mit der unten gezeigten Namensstruktur angezeigt werden.

Erkennungstyp

Namensstruktur

Schädliches Verhalten

Tactic_1a (T1234.123)

Schädliches Verhalten im Speicher

Tactic_1a (T1234.123 mem/family-a)

Der Erkennungsname besteht aus folgenden Komponenten:

  • MITRE-Taktiktyp („Taktik_1a“ in der Tabelle oben).
  • MITRE-Techniktyp („T1234.123“ in der Tabelle oben).
  • Malware-Familie für Bedrohungen im Speicher („mem/family-a“ in der Tabelle oben).

MITRE-Taktiktyp

Der erste Teil eines Erkennungsnamens gibt die verwendete MITRE-Taktik an. Weitere Informationen finden Sie unter „MITRE-Enterprise-Taktiken“.

Präfix

MITRE-Taktik

Access_

TA0001 Erstzugriff

Exec_

TA0002 Ausführung

Persist_

TA0003 Persistenz

Priv_

TA0004 Rechteausweitung

Evade_

TA0005 Umgehung der Abwehr

Cred_

TA0006 Zugriff auf Anmeldeinformationen

Discovery_

TA0007 Erkennung

Lateral_

TA0008 Laterale Bewegung

Collect_

TA0009 Sammlung

Exfil_

TA0010 Exfiltration

C2_

TA0011 Command and Control

Impact_

TA0040 Auswirkungen

MITRE-Technik-Nummer

Diese Zahl gibt die MITRE-Technik (und Untertechnik) an, die dem Erkennungsereignis am nächsten kommt.

Beispielsweise enthält eine Erkennung, die mit schädlichen PowerShell-Aktivitäten verbunden ist, „T1059.001“ im Namen. Sie können dies unter https://attack.mitre.org/techniques/T1059/001/ nachsehen.

Einzelheiten zu Techniken finden Sie unter „MITRE Enterprise-Techniken“.

Malware-Familie

Wenn Erkennungen eine erkannte Bedrohung enthalten, die im Speicher gefunden wurde, zeigt der letzte Teil des Namens die Malware-Familie an, zu der sie gehört.

Beispiele für Erkennungsnamen

Hier sind einige Beispiele für Erkennungsnamen und ihre Bedeutung.

Name der Erkennung

MITRE-Technik

Kommentar

Exec_6a (T1059.001)

„Command and Scripting“-Interpreter: PowerShell

Schädliche PowerShell-Aktivität.

C2_4a (T1059.001 mem/meter-a)

„Command and Scripting“-Interpreter: PowerShell

Meterpreter-Threads, die im Zuge schädlicher PowerShell-Aktivitäten im Speicher gefunden wurden.

C2_10a (T1071.001)

Anwendungsprotokoll: Webprotokolle

Schädliche Netzwerkaktivität über HTTP(S). Wahrscheinlich schädlicher Download oder verdächtige „Command & Control“-Verbindung.

C2_1a (T1071.001 mem/fareit-a)

Anwendungsprotokoll: Webprotokolle

Fareit-Malware im Speicher gefunden, die eine „Command & Control“-Verbindung über HTTP(S) herstellt.

Impact_4a (T1486 mem/xtbl-a)

Daten für Auswirkung verschlüsselt

Xtbl-Ransomware in speicherverschlüsselnden Dateien gefunden.

Exec_13a (T1055.002 mem/qakbot-a)

Prozessinjektion: Portable-Executable-Injektion

Qakbot-Malware im Speicher gefunden, wenn Malware ausgeführt wird.

Exec_14a (T1055.012 mem/androm-a)

Prozessinjektion: Process Hollowing

Andromeda-Malware im Speicher gefunden, wenn Malware ausgeführt wird (durch Process Hollowing).

Priv_1a (T1068)

Exploit von Rechteausweitung

Schädliche Aktivität, bei der der Prozess versucht, seine Berechtigungsstufe zu erhöhen.