Arten schädlichen Verhaltens
Auf dieser Seite werden die Namen erläutert, die wir für schädliches Verhalten verwenden, das auf Computern oder Servern erkannt wurde.
Einschränkung
Diese Seite gilt nicht für die Legacy-Funktion „Erkennung schädlichen Verhaltens (HIPS)“ in Sophos Central
Unsere Verhaltensklassifizierungen entsprechen dem „MITRE ATT&CK“-Framework. Wir melden alle Erkennungen anhand eines Namensstandards, der Ihnen Informationen über den Angriff liefert.
Es können zwei Erkennungsarten mit der unten gezeigten Namensstruktur angezeigt werden.
Beispiele für Erkennungsnamen
Erkennungstyp | Namensstruktur |
---|---|
Schädliches Verhalten | Tactic_1a (T1234.123) |
Schädliches Verhalten im Speicher | Tactic_1a (T1234.123 mem/family-a) |
Der Erkennungsname besteht aus folgenden Komponenten:
- MITRE-Taktiktyp („
Tactic_1a
“ in der Tabelle oben). - MITRE-Techniktyp („
T1234.123
“ in der Tabelle oben). - Malware-Familie für Bedrohungen im Speicher („
mem/family-a
“ in der Tabelle oben).
MITRE-Taktiktyp
Der erste Teil eines Erkennungsnamens gibt die verwendete MITRE-Taktik an. Alle Details finden Sie in MITRE-Enterprise-Taktiken.
Präfix | MITRE-Taktik |
---|---|
Access_ | TA0001 Erstzugriff |
Exec_ | TA0002 Ausführung |
Persist_ | TA0003 Persistenz |
Priv_ | TA0004 Rechteausweitung |
Evade_ | TA0005 Umgehung der Abwehr |
Cred_ | TA0006 Zugriff auf Anmeldeinformationen |
Discovery_ | TA0007 Erkennung |
Lateral_ | TA0008 Laterale Bewegung |
Collect_ | TA0009 Sammlung |
Exfil_ | TA0010 Exfiltration |
C2_ | TA0011 Command and Control |
Impact_ | TA0040 Auswirkungen |
Zusätzlich zu den obigen Angaben verwenden einige Kontextregeln die folgenden Präfixe:
Präfix | Beschreibung |
---|---|
Disrupt_ | Schädliches Verhalten im Zusammenhang mit aktiven Angriffen blockieren. |
Cleanup_ | Schädliche Artefakte entfernen, die mit einer anderen blockierenden Erkennung verknüpft sind. |
Sie können verhaltensbasierte Erkennungs-Ereignisse genauso unterdrücken, wie Sie die Erkennung von Ransomware beenden. Sie können Bereinigungsmaßnahmen, wie das Wiederherstellen von gelöschten Dateien oder Registrierungsschlüsseln, genauso rückgängig machen, wie Sie die Erkennung einer Anwendung beenden. Siehe Hinweise zum Umgang mit Bedrohungen.
MITRE-Technik-Nummer
Diese Zahl gibt die MITRE-Technik (und Untertechnik) an, die dem Erkennungsereignis am nächsten kommt.
Beispielsweise enthält eine Erkennung, die mit schädlichen PowerShell-Aktivitäten verbunden ist, „T1059.001“ im Namen. Sie können dies unter https://attack.mitre.org/techniques/T1059/001/ nachsehen.
Für Details zu Techniken siehe MITRE Enterprise-Techniken.
Malware-Familie
Wenn Erkennungen eine erkannte Bedrohung enthalten, die im Speicher gefunden wurde, zeigt der letzte Teil des Namens die Malware-Familie an, zu der sie gehört.
Beispiele für Erkennungsnamen
Hier sind einige Beispiele für Erkennungsnamen und ihre Bedeutung.
Name der Erkennung | MITRE-Technik | Kommentar |
---|---|---|
Exec_6a (T1059.001) | „Command and Scripting“-Interpreter: PowerShell | Schädliche PowerShell-Aktivität. |
C2_4a (T1059.001 mem/meter-a) | „Command and Scripting“-Interpreter: PowerShell | Meterpreter-Threads, die im Zuge schädlicher PowerShell-Aktivitäten im Speicher gefunden wurden. |
C2_10a (T1071.001) | Anwendungsprotokoll: Webprotokolle | Schädliche Netzwerkaktivität über HTTP(S). Wahrscheinlich schädlicher Download oder verdächtige „Command & Control“-Verbindung. |
C2_1a (T1071.001 mem/fareit-a) | Anwendungsprotokoll: Webprotokolle | Fareit-Malware im Speicher gefunden, die eine „Command & Control“-Verbindung über HTTP(S) herstellt. |
Impact_4a (T1486 mem/xtbl-a) | Daten für Auswirkung verschlüsselt | Xtbl-Ransomware in speicherverschlüsselnden Dateien gefunden. |
Exec_13a (T1055.002 mem/qakbot-a) | Prozessinjektion: Portable-Executable-Injektion | Qakbot-Malware im Speicher gefunden, wenn Malware ausgeführt wird. |
Exec_14a (T1055.012 mem/androm-a) | Prozessinjektion: Process Hollowing | Andromeda-Malware im Speicher gefunden, wenn Malware ausgeführt wird (durch Process Hollowing). |
Priv_1a (T1068) | Exploit von Rechteausweitung | Schädliche Aktivität, bei der der Prozess versucht, seine Berechtigungsstufe zu erhöhen. |