Tipos de comportamiento malicioso

Esta página explica los nombres que usamos para el comportamiento malicioso detectado en equipos o servidores.

Nota Esta página no se aplica a la función heredada "Detectar comportamiento malicioso (HIPS)" en Sophos Central.

Nuestras clasificaciones de comportamiento están en línea con la plataforma MITRE ATT&CK. Notificamos cada detección usando un estándar de nomenclatura que le da información sobre el ataque.

Es posible que vea dos tipos de detección, con la estructura de nomenclatura siguiente:

Tipo de detección

Estructura de nomenclatura

Comportamiento malicioso

Tactic_1a (T1234.123)

Comportamiento malicioso en memoria

Tactic_1a (T1234.123 mem/family-a)

El nombre de la detección consta de lo siguiente:

  • Tipo de táctica de MITRE ("Tactic_1a" en la tabla anterior).
  • Número de técnica de MITRE ("T1234.123" en la tabla anterior).
  • Familia de malware, para las amenazas halladas en la memoria ("mem/family-a" en la tabla anterior).

Tipo de táctica de MITRE

La primera parte del nombre de una detección indica la táctica de MITRE utilizada. Para obtener más información, consulte Tácticas empresariales de MITRE.

Prefijo

Táctica de MITRE

Access_

TA0001 Acceso inicial

Exec_

TA0002 Ejecución

Persist_

TA0003 Persistencia

Priv_

TA0004 Aumento de privilegios

Evade_

TA0005 Evasión de defensa

Cred_

TA0006 Acceso a credenciales

Discovery_

TA0007 Descubrimiento

Lateral_

TA0008 Propagación lateral

Collect_

TA0009 Recopilación

Exfil_

TA0010 Exfiltración

C2_

TA0011 Comando y control

Impact_

TA0040 Impacto

Número de técnica de MITRE

Este número indica la técnica (y subtécnica) de MITRE más estrechamente asociada con el evento de detección.

Por ejemplo, una detección asociada a una actividad maliciosa de PowerShell incluye "T1059.001" en su nombre. Puede consultarla en https://attack.mitre.org/techniques/T1059/001/.

Para obtener información detallada sobre las técnicas, consulte Técnicas empresariales de MITRE.

Familia de malware

Si las detecciones incluyen una amenaza reconocida hallada en la memoria, la parte final del nombre indica la familia de malware a la que pertenece.

Ejemplos de nombres de detección

He aquí algunos ejemplos de nombres de detección y lo que significan.

Nombre de detección

Técnica de MITRE

Comentario

Exec_6a (T1059.001)

Intérprete de comandos y secuencias de comandos: PowerShell

Actividad maliciosa de PowerShell.

C2_4a (T1059.001 mem/meter-a)

Intérprete de comandos y secuencias de comandos: PowerShell

Se detectan subprocesos de Meterpreter en memoria durante la actividad maliciosa de PowerShell.

C2_10a (T1071.001)

Protocolo de capa de aplicación: Protocolos web

Actividad de red maliciosa mediante HTTP(S). Lo más probable es que se trate de una descarga maliciosa o una conexión de comando y control.

C2_1a (T1071.001 mem/fareit-a)

Protocolo de capa de aplicación: Protocolos web

Se detecta malware Fareit en memoria, estableciendo la conexión de comando y control mediante HTTP(S).

Impact_4a (T1486 mem/xtbl-a)

Datos cifrados para impacto

Se detecta ransomware Xtbl en los archivos de cifrado de memoria.

Exec_13a (T1055.002 mem/qakbot-a)

Inyección de proceso: Inyección de portable ejecutable

Se detecta malware Qakbot en memoria cuando se ejecuta malware.

Exec_14a (T1055.012 mem/androm-a)

Inyección de proceso: Vaciado de procesos

Se detecta malware Andromeda en memoria cuando se está ejecutando malware (ya que utiliza el vaciado de procesos).

Priv_1a (T1068)

Explotación para el aumento de privilegios

Actividad maliciosa en la que el proceso intenta aumentar su nivel de privilegios.