悪意のある動作の種類

このページでは、コンピュータまたはサーバーで検出された悪意のある動作で使用される名前について説明します。

ここでの説明は、Sophos Central のレガシーの機能「悪意のある動作を検知する (HIPS)」には当てはまりません。

ソフォスによる動作の分類は、MITRE ATT&CK フレームワークに沿っています。検出の報告では、攻撃に関する情報を提供する命名基準が使用されます。

検出には 2種類あり、命名構造は次のとおりです。

検出の種類

命名構造

悪意のある動作

Tactic_1a (T1234.123)

メモリ内の悪意のある動作

Tactic_1a (T1234.123 mem/family-a)

検出名は、次の要素で構成されます。

  • MITRE 戦術の種類: 上の表では 「Tactic_1a」。
  • MITR 手法の番号: 上の表では「T1234.123」。
  • マルウェアファミリー (メモリ内で検出された脅威の場合): 上の表では「mem/family-a」。

MITRE 戦術の種類

検出名の最初の部分は、使用されている MITRE 戦術を示します。詳細は、MITRE Enterprise Tacticsを参照してください。

プレフィックス

MITRE 戦術

Access_

TA0001 Initial Access (初期アクセス)

Exec_

TA0002 Execution (実行)

Persist_

TA0003 Persistence (永続化)

Priv_

TA0004 Privilege Escalation (権限昇格)

Evade_

TA0005 Defense Evasion (防衛回避)

Cred_

TA0006 Credential Access (認証情報アクセス)

Discovery_

TA0007 Discovery (探索)

Lateral_

TA0008 Lateral Movement (ラテラルムーブメント)

Collect_

TA0009 Collection (収集)

Exfil_

TA0010 Exfiltration (盗み出し)

C2_

TA0011 Command and Control (C&C)

Impact_

TA0040 Impact (影響)

MITRE 手法の番号

この番号は、検出イベントに最も関連の深い MITRE 手法 (およびサブ手法) を示します。

たとえば、悪意のある PowerShell アクティビティに関連した検出の名前には、「T1059.001」が含まれます。詳細は、次のサイトを参照してください。https://attack.mitre.org/techniques/T1059/001/

手法の詳細は、MITRE Enterprise Techniquesを参照してください。

マルウェアファミリー

メモリ内の既存の脅威が検出に含まれる場合、名前の最後の部分は、それが属するマルウェアファミリーを示します。

検出名の例

ここでは、検出名の例とその意味について説明します。

検出名

MITRE 手法

備考

Exec_6a (T1059.001)

コマンド&スクリプトインタープリタ:PowerShell

悪意のある PowerShell アクティビティ。

C2_4a (T1059.001 mem/meter-a)

コマンド&スクリプトインタープリタ:PowerShell

悪意のある PowerShell アクティビティ中に、メモリ内で検出された Meterpreter スレッド。

C2_10a (T1071.001)

アプリケーション層プロトコル: Web プロトコル

HTTP(S) を介した悪意のあるネットワークアクティビティ。悪意のあるダウンロード、または C&C 接続の可能性が最も高い。

C2_1a (T1071.001 mem/fareit-a)

アプリケーション層プロトコル: Web プロトコル

メモリ内で検出された Fareit マルウェア。HTTP(S) 経由で C&C 接続を実行。

Impact_4a (T1486 mem/xtbl-a)

影響: データの暗号化

メモリ内で検出された、ファイルを暗号化する Xtbl ランサムウェア。

Exec_13a (T1055.002 mem/qakbot-a)

プロセスの挿入: Portable Executable の挿入

実行時にメモリ内で検出された Qakbot マルウェア。

Exec_14a (T1055.012 mem/androm-a)

プロセスの挿入: コード書き換え (プロセスの空洞化)

(プロセスの空洞化を使用した) 実行時に、メモリ内で検出された Andromeda マルウェア。

Priv_1a (T1068)

権限昇格: エクスプロイト攻撃

プロセスが自身の権限を昇格させようとする、悪意のあるアクティビティ。