Zum Inhalt

Arten schädlichen Verhaltens

Auf dieser Seite werden die Namen erläutert, die wir für schädliches Verhalten verwenden, das auf Computern oder Servern erkannt wurde.

Einschränkung

Diese Seite gilt nicht für die Legacy-Funktion „Erkennung schädlichen Verhaltens (HIPS)“ in Sophos Central

Unsere Verhaltensklassifizierungen entsprechen dem „MITRE ATT&CK“-Framework. Wir melden alle Erkennungen anhand eines Namensstandards, der Ihnen Informationen über den Angriff liefert.

Es können zwei Erkennungsarten mit der unten gezeigten Namensstruktur angezeigt werden.

Beispiele für Erkennungsnamen

Erkennungstyp Namensstruktur
Schädliches Verhalten Tactic_1a (T1234.123)
Schädliches Verhalten im Speicher Tactic_1a (T1234.123 mem/family-a)

Der Erkennungsname besteht aus folgenden Komponenten:

  • MITRE-Taktiktyp („Tactic_1a“ in der Tabelle oben).
  • MITRE-Techniktyp („T1234.123“ in der Tabelle oben).
  • Malware-Familie für Bedrohungen im Speicher („mem/family-a“ in der Tabelle oben).

MITRE-Taktiktyp

Der erste Teil eines Erkennungsnamens gibt die verwendete MITRE-Taktik an. Alle Details finden Sie in MITRE-Enterprise-Taktiken.

Präfix MITRE-Taktik
Access_ TA0001 Erstzugriff
Exec_ TA0002 Ausführung
Persist_ TA0003 Persistenz
Priv_ TA0004 Rechteausweitung
Evade_ TA0005 Umgehung der Abwehr
Cred_ TA0006 Zugriff auf Anmeldeinformationen
Discovery_ TA0007 Erkennung
Lateral_ TA0008 Laterale Bewegung
Collect_ TA0009 Sammlung
Exfil_ TA0010 Exfiltration
C2_ TA0011 Command and Control
Impact_ TA0040 Auswirkungen

Zusätzlich zu den obigen Angaben verwenden einige Kontextregeln die folgenden Präfixe:

Präfix Beschreibung
Disrupt_ Schädliches Verhalten im Zusammenhang mit aktiven Angriffen blockieren.
Cleanup_ Schädliche Artefakte entfernen, die mit einer anderen blockierenden Erkennung verknüpft sind.

Sie können verhaltensbasierte Erkennungs-Ereignisse genauso unterdrücken, wie Sie die Erkennung von Ransomware beenden. Sie können Bereinigungsmaßnahmen, wie das Wiederherstellen von gelöschten Dateien oder Registrierungsschlüsseln, genauso rückgängig machen, wie Sie die Erkennung einer Anwendung beenden. Siehe Hinweise zum Umgang mit Bedrohungen.

MITRE-Technik-Nummer

Diese Zahl gibt die MITRE-Technik (und Untertechnik) an, die dem Erkennungsereignis am nächsten kommt.

Beispielsweise enthält eine Erkennung, die mit schädlichen PowerShell-Aktivitäten verbunden ist, „T1059.001“ im Namen. Sie können dies unter https://attack.mitre.org/techniques/T1059/001/ nachsehen.

Für Details zu Techniken siehe MITRE Enterprise-Techniken.

Malware-Familie

Wenn Erkennungen eine erkannte Bedrohung enthalten, die im Speicher gefunden wurde, zeigt der letzte Teil des Namens die Malware-Familie an, zu der sie gehört.

Beispiele für Erkennungsnamen

Hier sind einige Beispiele für Erkennungsnamen und ihre Bedeutung.

Name der Erkennung MITRE-Technik Kommentar
Exec_6a (T1059.001) „Command and Scripting“-Interpreter: PowerShell Schädliche PowerShell-Aktivität.
C2_4a (T1059.001 mem/meter-a) „Command and Scripting“-Interpreter: PowerShell Meterpreter-Threads, die im Zuge schädlicher PowerShell-Aktivitäten im Speicher gefunden wurden.
C2_10a (T1071.001) Anwendungsprotokoll: Webprotokolle Schädliche Netzwerkaktivität über HTTP(S). Wahrscheinlich schädlicher Download oder verdächtige „Command & Control“-Verbindung.
C2_1a (T1071.001 mem/fareit-a) Anwendungsprotokoll: Webprotokolle Fareit-Malware im Speicher gefunden, die eine „Command & Control“-Verbindung über HTTP(S) herstellt.
Impact_4a (T1486 mem/xtbl-a) Daten für Auswirkung verschlüsselt Xtbl-Ransomware in speicherverschlüsselnden Dateien gefunden.
Exec_13a (T1055.002 mem/qakbot-a) Prozessinjektion: Portable-Executable-Injektion Qakbot-Malware im Speicher gefunden, wenn Malware ausgeführt wird.
Exec_14a (T1055.012 mem/androm-a) Prozessinjektion: Process Hollowing Andromeda-Malware im Speicher gefunden, wenn Malware ausgeführt wird (durch Process Hollowing).
Priv_1a (T1068) Exploit von Rechteausweitung Schädliche Aktivität, bei der der Prozess versucht, seine Berechtigungsstufe zu erhöhen.