Tipi di comportamenti dannosi

Questa pagina descrive i nomi che utilizziamo per i comportamenti dannosi rilevati su computer o server.

Nota Questa pagina non riguarda la funzionalità legacy "Rileva comportamento dannoso (HIPS)" in Sophos Central

Le nostre classificazioni dei comportamenti sono in linea con il framework MITRE ATT&CK. Ogni rilevamento viene segnalato utilizzando uno standard di denominazione che fornisce informazioni sull'attacco.

Potrebbero essere visualizzati due tipi di rilevamento, con la struttura di denominazione mostrata di seguito.

Tipo di rilevamento

Struttura di denominazione

Comportamento dannoso

Tactic_1a (T1234.123)

Comportamento dannoso in memoria

Tactic_1a (T1234.123 mem/family-a)

Il nome del rilevamento è composto dalle seguenti parti:

  • Tipo di tattica MITRE ("Tactic_1a" nella tabella sopra).
  • Numero di tecnica MITRE ("T1234.123" nella tabella sopra).
  • Famiglia di malware, per le minacce individuate nella memoria ("mem/family-a" nella tabella sopra).

Tipo di tattica MITRE

La prima parte del nome di un rilevamento indica la tattica MITRE utilizzata. Per informazioni complete, visitare la pagina MITRE Enterprise Tactics (Tattiche Enterprise MITRE).

Prefisso

Tattica MITRE

Access_

TA0001 Initial Access

Exec_

TA0002 Execution

Persist_

TA0003 Persistence

Priv_

TA0004 Privilege Escalation

Evade_

TA0005 Defense Evasion

Cred_

TA0006 Credential Access

Discovery_

TA0007 Discovery

Lateral_

TA0008 Lateral Movement

Collect_

TA0009 Collection

Exfil_

TA0010 Exfiltration

C2_

TA0011 Command and Control

Impact_

TA0040 Impact

Numero di tecnica MITRE

Questo numero indica la tecnica (e sottotecnica) MITRE maggiormente associata all'evento di rilevamento.

Ad esempio, un rilevamento associato a un'attività PowerShell dannosa include “T1059.01” nel nome. Per maggiori informazioni, consultare la pagina https://attack.mitre.org/techniques/T1059/001/

Per informazioni dettagliate sulle tecniche, visitare la pagina MITRE Enterprise Techniques (Tecniche Enterprise MITRE).

Famiglia di malware

Se i rilevamenti includono una minaccia riconosciuta, individuata nella memoria, la parte finale del nome indica la famiglia di malware a cui appartiene.

Esempi di nomi di rilevamento

Ecco alcuni esempi di nomi di rilevamento e cosa significano.

Nome di rilevamento

Tecnica MITRE

Commento

Exec_6a (T1059.001)

Command and Scripting Interpreter: PowerShell

Attività PowerShell dannosa.

C2_4a (T1059.001 mem/meter-a)

Command and Scripting Interpreter: PowerShell

Thread Meterpreter individuati in memoria durante l'attività PowerShell dannosa.

C2_10a (T1071.001)

Application Layer Protocol: Web Protocols

Attività di rete dannosa su HTTP(S). Molto probabilmente download dannoso o connessione di Comando e controllo.

C2_1a (T1071.001 mem/fareit-a)

Application Layer Protocol: Web Protocols

In memoria è stato rilevato malware Fareit, che effettua una connessione di comando e controllo su HTTP(S).

Impact_4a (T1486 mem/xtbl-a)

Data Encrypted for Impact

In memoria è stato rilevato ransomware Xtbl, che agisce cifrando i file.

Exec_13a (T1055.002 mem/qakbot-a)

Process Injection: Portable Executable Injection

In memoria è stato rilevato malware Qakbot all'esecuzione del malware.

Exec_14a (T1055.012 mem/androm-a)

Process Injection: Process Hollowing

In memoria è stato rilevato malware Andromeda all'esecuzione del malware (in quanto utilizza il process hollowing).

Priv_1a (T1068)

Exploitation for Privilege Escalation

Attività dannosa in cui il processo tenta di ottenere livelli più elevati di privilegi.