Saltar al contenido

Tipos de comportamiento malicioso

Esta página explica los nombres que usamos para el comportamiento malicioso detectado en equipos o servidores.

Restricción

Esta página no se aplica a la función heredada "Detectar comportamiento malicioso (HIPS)" en Sophos Central.

Nuestras clasificaciones de comportamiento están en línea con la plataforma MITRE ATT&CK. Notificamos cada detección usando un estándar de nomenclatura que le da información sobre el ataque.

Es posible que vea dos tipos de detección, con la estructura de nomenclatura siguiente:

Ejemplos de nombres de detección

Tipo de detección Estructura de nomenclatura
Comportamiento malicioso Tactic\_1a (T1234.123)
Comportamiento malicioso en memoria Tactic\_1a (T1234.123 mem/family-a)

El nombre de la detección consta de lo siguiente:

  • Tipo de táctica de MITRE (“Tactic\_1a” en la tabla anterior).
  • Número de técnica de MITRE ("T1234.123" en la tabla anterior).
  • Familia de malware, para las amenazas halladas en la memoria (“mem/family-a” en la tabla anterior).

Tipo de táctica de MITRE

La primera parte del nombre de una detección indica la táctica de MITRE utilizada. Para obtener más información, consulte Tácticas empresariales de MITRE.

Prefijo Táctica de MITRE
Access\_ TA0001 Acceso inicial
Exec\_ TA0002 Ejecución
Persist\_ TA0003 Persistencia
Priv\_ TA0004 Aumento de privilegios
Evade\_ TA0005 Evasión de defensa
Cred\_ TA0006 Acceso a credenciales
Discovery\_ TA0007 Descubrimiento
Lateral\_ TA0008 Propagación lateral
Collect\_ TA0009 Recopilación
Exfil\_ TA0010 Exfiltración
C2\_ TA0011 Comando y control
Impact\_ TA0040 Impacto

Número de técnica de MITRE

Este número indica la técnica (y subtécnica) de MITRE más estrechamente asociada con el evento de detección.

Por ejemplo, una detección asociada a una actividad maliciosa de PowerShell incluye "T1059.001" en su nombre. Puede consultarla en https://attack.mitre.org/techniques/T1059/001/.

Para obtener información detallada sobre las técnicas, consulte Técnicas empresariales de MITRE.

Familia de malware

Si las detecciones incluyen una amenaza reconocida hallada en la memoria, la parte final del nombre indica la familia de malware a la que pertenece.

Ejemplos de nombres de detección

He aquí algunos ejemplos de nombres de detección y lo que significan.

Nombre de detección Técnica de MITRE Comentario
Exec\_6a (T1059.001) Intérprete de comandos y secuencias de comandos: PowerShell Actividad maliciosa de PowerShell.
C2\_4a (T1059.001 mem/meter-a) Intérprete de comandos y secuencias de comandos: PowerShell Se detectan subprocesos de Meterpreter en memoria durante la actividad maliciosa de PowerShell.
C2\_10a (T1071.001) Protocolo de capa de aplicación: Protocolos web Actividad de red maliciosa mediante HTTP(S). Lo más probable es que se trate de una descarga maliciosa o una conexión de comando y control.
C2\_1a (T1071.001 mem/fareit-a) Protocolo de capa de aplicación: Protocolos web Se detecta malware Fareit en memoria, estableciendo la conexión de comando y control mediante HTTP(S).
Impact\_4a (T1486 mem/xtbl-a) Datos cifrados para impacto Se detecta ransomware Xtbl en los archivos de cifrado de memoria.
Exec\_13a (T1055.002 mem/qakbot-a) Inyección de proceso: Inyección de portable ejecutable Se detecta malware Qakbot en memoria cuando se ejecuta malware.
Exec\_14a (T1055.012 mem/androm-a) Inyección de proceso: Vaciado de procesos Se detecta malware Andromeda en memoria cuando se está ejecutando malware (ya que utiliza el vaciado de procesos).
Priv\_1a (T1068) Explotación para el aumento de privilegios Actividad maliciosa en la que el proceso intenta aumentar su nivel de privilegios.
Volver al principio