Saltar al contenido

Tipos de comportamiento malicioso

Esta página explica los nombres que usamos para el comportamiento malicioso detectado en equipos o servidores.

Restricción

Esta página no se aplica a la función heredada "Detectar comportamiento malicioso (HIPS)" en Sophos Central.

Nuestras clasificaciones de comportamiento están en línea con la plataforma MITRE ATT&CK. Notificamos cada detección usando un estándar de nomenclatura que le da información sobre el ataque.

Es posible que vea dos tipos de detección, con la estructura de nomenclatura siguiente:

Ejemplos de nombres de detección

Tipo de detección Estructura de nomenclatura
Comportamiento malicioso Tactic_1a (T1234.123)
Comportamiento malicioso en memoria Tactic_1a (T1234.123 mem/family-a)

El nombre de la detección consta de lo siguiente:

  • Tipo de táctica de MITRE (“Tactic_1a” en la tabla anterior).
  • Número de técnica de MITRE ("T1234.123" en la tabla anterior).
  • Familia de malware, para las amenazas halladas en la memoria (“mem/family-a” en la tabla anterior).

Tipo de táctica de MITRE

La primera parte del nombre de una detección indica la táctica de MITRE utilizada. Para obtener más información, consulte Tácticas empresariales de MITRE.

Prefijo Táctica de MITRE
Access_ TA0001 Acceso inicial
Exec_ TA0002 Ejecución
Persist_ TA0003 Persistencia
Priv_ TA0004 Aumento de privilegios
Evade_ TA0005 Evasión de defensa
Cred_ TA0006 Acceso a credenciales
Discovery_ TA0007 Descubrimiento
Lateral_ TA0008 Propagación lateral
Collect_ TA0009 Recopilación
Exfil_ TA0010 Exfiltración
C2_ TA0011 Comando y control
Impact_ TA0040 Impacto

Además de lo anterior, algunas reglas contextuales utilizan los siguientes prefijos:

Prefijo Descripción
Disrupt_ Bloquear el comportamiento malicioso asociado con ataques de adversarios activos.
Cleanup_ Eliminar los artefactos maliciosos asociados con otra detección de bloqueo.

Puede suprimir los eventos de detección de comportamientos de la misma manera que deja de detectar ransomware. También puede revertir las acciones de remediación, como restaurar archivos eliminados o claves del registro, de la misma manera que deja de detectar una aplicación. Consulte Qué hacer con las amenazas.

Número de técnica de MITRE

Este número indica la técnica (y subtécnica) de MITRE más estrechamente asociada con el evento de detección.

Por ejemplo, una detección asociada a una actividad maliciosa de PowerShell incluye "T1059.001" en su nombre. Puede consultarla en https://attack.mitre.org/techniques/T1059/001/.

Para obtener información detallada sobre las técnicas, consulte Técnicas empresariales de MITRE.

Familia de malware

Si las detecciones incluyen una amenaza reconocida hallada en la memoria, la parte final del nombre indica la familia de malware a la que pertenece.

Ejemplos de nombres de detección

He aquí algunos ejemplos de nombres de detección y lo que significan.

Nombre de detección Técnica de MITRE Comentario
Exec_6a (T1059.001) Intérprete de comandos y secuencias de comandos: PowerShell Actividad maliciosa de PowerShell.
C2_4a (T1059.001 mem/meter-a) Intérprete de comandos y secuencias de comandos: PowerShell Se detectan subprocesos de Meterpreter en memoria durante la actividad maliciosa de PowerShell.
C2_10a (T1071.001) Protocolo de capa de aplicación: Protocolos web Actividad de red maliciosa mediante HTTP(S). Lo más probable es que se trate de una descarga maliciosa o una conexión de comando y control.
C2_1a (T1071.001 mem/fareit-a) Protocolo de capa de aplicación: Protocolos web Se detecta malware Fareit en memoria, estableciendo la conexión de comando y control mediante HTTP(S).
Impact_4a (T1486 mem/xtbl-a) Datos cifrados para impacto Se detecta ransomware Xtbl en los archivos de cifrado de memoria.
Exec_13a (T1055.002 mem/qakbot-a) Inyección de proceso: Inyección de portable ejecutable Se detecta malware Qakbot en memoria cuando se ejecuta malware.
Exec_14a (T1055.012 mem/androm-a) Inyección de proceso: Vaciado de procesos Se detecta malware Andromeda en memoria cuando se está ejecutando malware (ya que utiliza el vaciado de procesos).
Priv_1a (T1068) Explotación para el aumento de privilegios Actividad maliciosa en la que el proceso intenta aumentar su nivel de privilegios.