콘텐츠로 이동

악성 동작 유형

이 페이지에서는 컴퓨터 또는 서버에서 감지된 악성 동작에 사용하는 이름을 설명합니다.

제한

이 페이지는 Sophos Central의 레거시 "악성 동작 감지(HIPS)" 기능에 적용되지 않습니다.

당사의 동작 분류는 MITRE ATT&CK 프레임워크를 따릅니다. 공격에 대한 정보를 제공하는 명명 표준을 사용하여 각 감지 내용을 보고합니다.

아래 표시된 명명 구조와 함께 두 가지 유형의 감지 내용이 표시될 수 있습니다.

감지 이름 예

감지 유형 명명 구조
악성 행위 Tactic_1a (T1234.123)
메모리의 악성 동작 Tactic_1a (T1234.123 mem/family-a)

감지 이름은 다음과 같이 구성됩니다.

  • MITRE 전술 유형(위의 표에서 “Tactic_1a”).
  • MITRE 기법 번호(위의 표에서 "T1234.123").
  • 메모리에서 발견되는 위협용 멀웨어 계열(위의 표에서 “mem/family-a”)

MITRE 전술 유형

감지 이름의 첫 번째 부분은 사용된 MITRE 전술을 나타냅니다. 자세한 내용은 Mitre 엔터프라이즈 전술(MITRE Enterprise Tactics)을 참조하십시오.

접두사 MITRE 전술
Access_ TA0001 초기 액세스
Exec_ TA0002 실행
Persist_ TA0003 지속성
Priv_ TA0004 권한 상승
Evade_ TA0005 방어 회피
Cred_ TAM0006 자격 증명 액세스
Discovery_ TA0007 검색
Lateral_ TA0008 내부망 이동
Collect_ TAM0009 수집
Exfil_ TA0010 반출
C2_ TA0011 명령 및 제어
Impact_ TA0040 영향

위 접두사 외에도, Active Adversary 공격과 관련된 악성 행위를 차단하기 위해 설계된 일부 컨텍스트 규칙은 접두사 Breach_를 사용합니다. 이러한 규칙은 실제 공격 중에 위협 행위자의 행동을 방해합니다.

MITRE 기법 번호

이 숫자는 감지 이벤트와 가장 밀접하게 연관된 MITRE 기법(및 하위 기법)을 나타냅니다.

예를 들어, 악성 PowerShell 활동과 관련된 감지에는 이름에 "T1059.001"이 포함됩니다. https://attack.mitre.org/techniques/T1059/001/에서 이 내용을 확인할 수 있습니다

기법에 대한 자세한 내용은 MITRE 엔터프라이즈 기법(MITRE Enterprise Techniques)을 참조하십시오.

멀웨어 계열

메모리에서 발견되어 인식된 위협이 감지에 포함되는 경우 이름의 마지막 부분은 해당 위협이 속한 멀웨어 계열을 나타냅니다.

감지 이름 예

다음은 감지 이름과 그 의미에 대한 몇 가지 예입니다.

감지 이름 MITRE 기법 주석
Exec_6a (T1059.001) 명령 및 스크립팅 인터프리터: PowerShell 악성 PowerShell 활동.
C2_4a (T1059.001 mem/meter-a) 명령 및 스크립팅 인터프리터: PowerShell 악성 PowerShell 활동 중에 메모리에서 Meterpreter 스레드가 발견됨.
C2_10a (T1071.001) 응용 프로그램 계층 프로토콜: 웹 프로토콜 HTTP(S)를 통한 악성 네트워크 활동. 악성 다운로드 또는 명령 및 제어 연결 가능성이 가장 높음.
C2_1a (T1071.001 mem/fareit-a) 응용 프로그램 계층 프로토콜: 웹 프로토콜 메모리에서 Fareit 멀웨어가 발견되어 HTTP(S)를 통한 명령 및 제어 연결을 설정.
Impact_4a (T1486 mem/xtbl-a) 영향을 주기 위해 암호화된 데이터 메모리 암호화 파일에서 찾은 Xtbl 랜섬웨어.
Exec_13a (T1055.002 mem/qakbot-a) 프로세스 삽입: 이식 가능 실행 삽입 멀웨어가 실행될 때 메모리에서 발견된 Qakbot 멀웨어.
Exec_14a (T1055.012 mem/androm-a) 프로세스 삽입: 프로세스 비우기 멀웨어가 실행 중일 때 메모리에서 발견된 Andromeda 멀웨어(프로세스 비우기 사용).
Priv_1a (T1068) 권한 상승 악용 프로세스가 권한 수준을 상승시키려고 시도하는 경우의 악성 활동.