Zum Inhalt

Arten schädlichen Verhaltens

Auf dieser Seite werden die Namen erläutert, die wir für schädliches Verhalten verwenden, das auf Computern oder Servern erkannt wurde.

Einschränkung

Diese Seite gilt nicht für die Legacy-Funktion „Erkennung schädlichen Verhaltens (HIPS)“ in Sophos Central

Unsere Verhaltensklassifizierungen entsprechen dem „MITRE ATT&CK“-Framework. Wir melden alle Erkennungen anhand eines Namensstandards, der Ihnen Informationen über den Angriff liefert.

Es können zwei Erkennungsarten mit der unten gezeigten Namensstruktur angezeigt werden.

Beispiele für Erkennungsnamen

Erkennungstyp Namensstruktur
Schädliches Verhalten Tactic\_1a (T1234.123)
Schädliches Verhalten im Speicher Tactic\_1a (T1234.123 mem/family-a)

Der Erkennungsname besteht aus folgenden Komponenten:

  • MITRE-Taktiktyp („Tactic\_1a“ in der Tabelle oben).
  • MITRE-Techniktyp („T1234.123“ in der Tabelle oben).
  • Malware-Familie für Bedrohungen im Speicher („mem/family-a“ in der Tabelle oben).

MITRE-Taktiktyp

Der erste Teil eines Erkennungsnamens gibt die verwendete MITRE-Taktik an. Alle Details finden Sie in MITRE-Enterprise-Taktiken.

Präfix MITRE-Taktik
Access\_ TA0001 Erstzugriff
Exec\_ TA0002 Ausführung
Persist\_ TA0003 Persistenz
Priv\_ TA0004 Rechteausweitung
Evade\_ TA0005 Umgehung der Abwehr
Cred\_ TA0006 Zugriff auf Anmeldeinformationen
Discovery\_ TA0007 Erkennung
Lateral\_ TA0008 Laterale Bewegung
Collect\_ TA0009 Sammlung
Exfil\_ TA0010 Exfiltration
C2\_ TA0011 Command and Control
Impact\_ TA0040 Auswirkungen

MITRE-Technik-Nummer

Diese Zahl gibt die MITRE-Technik (und Untertechnik) an, die dem Erkennungsereignis am nächsten kommt.

Beispielsweise enthält eine Erkennung, die mit schädlichen PowerShell-Aktivitäten verbunden ist, „T1059.001“ im Namen. Sie können dies unter https://attack.mitre.org/techniques/T1059/001/ nachsehen.

Für Details zu Techniken siehe MITRE Enterprise-Techniken.

Malware-Familie

Wenn Erkennungen eine erkannte Bedrohung enthalten, die im Speicher gefunden wurde, zeigt der letzte Teil des Namens die Malware-Familie an, zu der sie gehört.

Beispiele für Erkennungsnamen

Hier sind einige Beispiele für Erkennungsnamen und ihre Bedeutung.

Name der Erkennung MITRE-Technik Kommentar
Exec\_6a (T1059.001) „Command and Scripting“-Interpreter: PowerShell Schädliche PowerShell-Aktivität.
C2\_4a (T1059.001 mem/meter-a) „Command and Scripting“-Interpreter: PowerShell Meterpreter-Threads, die im Zuge schädlicher PowerShell-Aktivitäten im Speicher gefunden wurden.
C2\_10a (T1071.001) Anwendungsprotokoll: Webprotokolle Schädliche Netzwerkaktivität über HTTP(S). Wahrscheinlich schädlicher Download oder verdächtige „Command & Control“-Verbindung.
C2\_1a (T1071.001 mem/fareit-a) Anwendungsprotokoll: Webprotokolle Fareit-Malware im Speicher gefunden, die eine „Command & Control“-Verbindung über HTTP(S) herstellt.
Impact\_4a (T1486 mem/xtbl-a) Daten für Auswirkung verschlüsselt Xtbl-Ransomware in speicherverschlüsselnden Dateien gefunden.
Exec\_13a (T1055.002 mem/qakbot-a) Prozessinjektion: Portable-Executable-Injektion Qakbot-Malware im Speicher gefunden, wenn Malware ausgeführt wird.
Exec\_14a (T1055.012 mem/androm-a) Prozessinjektion: Process Hollowing Andromeda-Malware im Speicher gefunden, wenn Malware ausgeführt wird (durch Process Hollowing).
Priv\_1a (T1068) Exploit von Rechteausweitung Schädliche Aktivität, bei der der Prozess versucht, seine Berechtigungsstufe zu erhöhen.
Zurück zum Seitenanfang