Tipos de comportamiento malicioso
Esta página explica los nombres que usamos para el comportamiento malicioso detectado en equipos o servidores.
Restricción
Esta página no se aplica a la función heredada "Detectar comportamiento malicioso (HIPS)" en Sophos Central.
Nuestras clasificaciones de comportamiento están en línea con la plataforma MITRE ATT&CK. Notificamos cada detección usando un estándar de nomenclatura que le da información sobre el ataque.
Es posible que vea dos tipos de detección, con la estructura de nomenclatura siguiente:
Ejemplos de nombres de detección
Tipo de detección | Estructura de nomenclatura |
---|---|
Comportamiento malicioso | Tactic_1a (T1234.123) |
Comportamiento malicioso en memoria | Tactic_1a (T1234.123 mem/family-a) |
El nombre de la detección consta de lo siguiente:
- Tipo de táctica de MITRE (“
Tactic_1a
” en la tabla anterior). - Número de técnica de MITRE ("
T1234.123
" en la tabla anterior). - Familia de malware, para las amenazas halladas en la memoria (“
mem/family-a
” en la tabla anterior).
Tipo de táctica de MITRE
La primera parte del nombre de una detección indica la táctica de MITRE utilizada. Para obtener más información, consulte Tácticas empresariales de MITRE.
Prefijo | Táctica de MITRE |
---|---|
Access_ | TA0001 Acceso inicial |
Exec_ | TA0002 Ejecución |
Persist_ | TA0003 Persistencia |
Priv_ | TA0004 Aumento de privilegios |
Evade_ | TA0005 Evasión de defensa |
Cred_ | TA0006 Acceso a credenciales |
Discovery_ | TA0007 Descubrimiento |
Lateral_ | TA0008 Propagación lateral |
Collect_ | TA0009 Recopilación |
Exfil_ | TA0010 Exfiltración |
C2_ | TA0011 Comando y control |
Impact_ | TA0040 Impacto |
Además de lo anterior, algunas reglas contextuales utilizan los siguientes prefijos:
Prefijo | Descripción |
---|---|
Disrupt_ | Bloquear el comportamiento malicioso asociado con ataques de adversarios activos. |
Cleanup_ | Eliminar los artefactos maliciosos asociados con otra detección de bloqueo. |
Puede suprimir los eventos de detección de comportamientos de la misma manera que deja de detectar ransomware. También puede revertir las acciones de remediación, como restaurar archivos eliminados o claves del registro, de la misma manera que deja de detectar una aplicación. Consulte Qué hacer con las amenazas.
Número de técnica de MITRE
Este número indica la técnica (y subtécnica) de MITRE más estrechamente asociada con el evento de detección.
Por ejemplo, una detección asociada a una actividad maliciosa de PowerShell incluye "T1059.001" en su nombre. Puede consultarla en https://attack.mitre.org/techniques/T1059/001/.
Para obtener información detallada sobre las técnicas, consulte Técnicas empresariales de MITRE.
Familia de malware
Si las detecciones incluyen una amenaza reconocida hallada en la memoria, la parte final del nombre indica la familia de malware a la que pertenece.
Ejemplos de nombres de detección
He aquí algunos ejemplos de nombres de detección y lo que significan.
Nombre de detección | Técnica de MITRE | Comentario |
---|---|---|
Exec_6a (T1059.001) | Intérprete de comandos y secuencias de comandos: PowerShell | Actividad maliciosa de PowerShell. |
C2_4a (T1059.001 mem/meter-a) | Intérprete de comandos y secuencias de comandos: PowerShell | Se detectan subprocesos de Meterpreter en memoria durante la actividad maliciosa de PowerShell. |
C2_10a (T1071.001) | Protocolo de capa de aplicación: Protocolos web | Actividad de red maliciosa mediante HTTP(S). Lo más probable es que se trate de una descarga maliciosa o una conexión de comando y control. |
C2_1a (T1071.001 mem/fareit-a) | Protocolo de capa de aplicación: Protocolos web | Se detecta malware Fareit en memoria, estableciendo la conexión de comando y control mediante HTTP(S). |
Impact_4a (T1486 mem/xtbl-a) | Datos cifrados para impacto | Se detecta ransomware Xtbl en los archivos de cifrado de memoria. |
Exec_13a (T1055.002 mem/qakbot-a) | Inyección de proceso: Inyección de portable ejecutable | Se detecta malware Qakbot en memoria cuando se ejecuta malware. |
Exec_14a (T1055.012 mem/androm-a) | Inyección de proceso: Vaciado de procesos | Se detecta malware Andromeda en memoria cuando se está ejecutando malware (ya que utiliza el vaciado de procesos). |
Priv_1a (T1068) | Explotación para el aumento de privilegios | Actividad maliciosa en la que el proceso intenta aumentar su nivel de privilegios. |