Types de comportement malveillant

Cette page offre une description des noms que nous utilisons pour les comportements malveillants détectés sur les ordinateurs ou les serveurs.

Remarque : Les informations affichées ici ne s’appliquent pas à l’ancienne fonction « Détecter les comportements malveillants (HIPS) » dans Sophos Central

Nos classifications de comportement sont conformes à la structure MITRE ATT&CK. Nous rapportons chaque détection à l’aide d’une norme de dénomination fournissant des informations sur l’attaque.

Vous distinguerez deux types de détection, dont la structure de dénomination est illustrée ci-dessous.

Type de détection

Structure de dénomination

Comportement malveillant

Tactic_1a (T1234.123)

Comportement malveillant en mémoire

Tactic_1a (T1234.123 mem/family-a)

Le nom de détection est composé des éléments suivants :

  • Type de tactique MITRE (« Tactic_1a » dans le tableau ci-dessus).
  • Numéro de technique MITRE (« T1234.123 » dans le tableau ci-dessus).
  • Famille de malwares, pour les menaces trouvées en mémoire (« mem/family-a » dans le tableau ci-dessus).

Type de tactique MITRE

La première partie d’un nom de détection indique la tactique MITRE utilisée. Retrouvez plus de renseignements sur Tactiques Entreprise de MITRE.

Préfixe

Tactique MITRE

Access_

TA0001 Accès initial

Exec_

TA0002 Exécution

Persist_

TA0003 Persistance

Priv_

TA0004 Escalade des privilèges

Evade_

TA0005 Évasion de défense

Cred_

TA0006 Accès aux codes d’accès

Discovery_

TA0007 Découverte

Lateral_

TA0008 Mouvement latéral

Collect_

TA0009 Collection

Exfil_

TA0010 Exfiltration

C2_

TA0011 Commande et contrôle

Impact_

TA0040 Impact

Numéro de technique MITRE

Ce nombre indique la technique MITRE (et la sous-technique) la plus étroitement associée à l’événement de détection.

Par exemple, une détection associée à une activité PowerShell malveillante affiche « T1059.001 » dans son nom. Retrouvez plus de renseignements sur https://attack.mitre.org/techniques/T1059/001/

Retrouvez plus de renseignements sur les techniques sur la page Techniques Entreprise de MITRE.

Famille de malware

Si les détections incluent une menace reconnue trouvée en mémoire, la dernière partie du nom indique la famille de malware à laquelle elle appartient.

Exemples de noms de détection

Voici quelques exemples de noms de détection et de leur signification.

Nom de la détection

Technique MITRE

Commentaire

Exec_6a (T1059.001)

Interpréteur de commandes et de scripts : PowerShell

Activité PowerShell malveillante.

C2_4a (T1059.001 mem/meter-a)

Interpréteur de commandes et de scripts : PowerShell

Threads Meterpreter détectés en mémoire lors d’une activité PowerShell malveillante.

C2_10a (T1071.001)

Protocole de couche d’application : Protocoles Web

Activité réseau malveillante sur HTTP(S). Téléchargement malveillant ou connexion Commande et contrôle.

C2_1a (T1071.001 mem/fareit-a)

Protocole de couche d’application : Protocoles Web

Logiciel malveillant Fareit détecté en mémoire, permettant une connexion Commande et contrôle via HTTP(S).

Impact_4a (T1486 mem/xtbl-a)

Données chiffrées pour Impact

Ransomware Xtbl trouvé dans les fichiers de chiffrement de la mémoire.

Exec_13a (T1055.002 mem/qakbot-a)

Injection de processus : Injection d’exécutable portable

Malware Qakbot détecté en mémoire lors de l’exécution d’un malware.

Exec_14a (T1055.012 mem/androm-a)

Injection de processus : Process Hollowing (processus creux)

Malware Andromeda trouvé en mémoire lorsque un malware est en cours d’exécution (car il utilise la technique « Process Hollowing »).

Priv_1a (T1068)

Exploitation pour l’escalade des privilèges

Activité malveillante dans laquelle le processus tente de faire remonter son niveau de privilège.