Aller au contenu

Types de comportement malveillant

Cette page offre une description des noms que nous utilisons pour les comportements malveillants détectés sur les ordinateurs ou les serveurs.

Restriction

Les informations affichées ici ne s’appliquent pas à l’ancienne fonction « Détecter les comportements malveillants (HIPS) » dans Sophos Central

Nos classifications de comportement sont conformes à la structure MITRE ATT&CK. Nous rapportons chaque détection à l’aide d’une norme de dénomination fournissant des informations sur l’attaque.

Vous distinguerez deux types de détection, dont la structure de dénomination est illustrée ci-dessous.

Exemples de noms de détection

Type de détection Structure de dénomination
Comportement malveillant Tactic_1a (T1234.123)
Comportement malveillant en mémoire Tactic_1a (T1234.123 mem/family-a)

Le nom de détection est composé des éléments suivants :

  • Type de tactique MITRE (« Tactic_1a » dans le tableau ci-dessus).
  • Numéro de technique MITRE (« T1234.123 » dans le tableau ci-dessus).
  • Famille de malwares, pour les menaces trouvées en mémoire (« mem/family-a » dans le tableau ci-dessus).

Type de tactique MITRE

La première partie d’un nom de détection indique la tactique MITRE utilisée. Retrouvez plus de renseignements sur Tactiques Entreprise de MITRE.

Préfixe Tactique MITRE
Access_ TA0001 Accès initial
Exec_ TA0002 Exécution
Persist_ TA0003 Persistance
Priv_ TA0004 Escalade des privilèges
Evade_ TA0005 Évasion de défense
Cred_ TA0006 Accès aux codes d’accès
Discovery_ TA0007 Découverte
Lateral_ TA0008 Mouvement latéral
Collect_ TA0009 Collection
Exfil_ TA0010 Exfiltration
C2_ TA0011 Commande et contrôle
Impact_ TA0040 Impact

En plus des préfixes ci-dessus, certaines règles contextuelles conçues pour bloquer le comportement malveillant associé aux attaques d’adversaire actif utilisent le préfixe Breach_. Ces règles perturbent les actions d’un acteur malveillant lors d’une attaque.

Numéro de technique MITRE

Ce nombre indique la technique MITRE (et la sous-technique) la plus étroitement associée à l’événement de détection.

Par exemple, une détection associée à une activité PowerShell malveillante affiche « T1059.001 » dans son nom. Retrouvez plus de renseignements sur https://attack.mitre.org/techniques/T1059/001/

Retrouvez plus de renseignements sur les techniques sur la page Techniques Entreprise de MITRE.

Famille de malware

Si les détections incluent une menace reconnue trouvée en mémoire, la dernière partie du nom indique la famille de malware à laquelle elle appartient.

Exemples de noms de détection

Voici quelques exemples de noms de détection et de leur signification.

Nom de la détection Technique MITRE Commentaire
Exec_6a (T1059.001) Interpréteur de commandes et de scripts : PowerShell Activité PowerShell malveillante.
C2_4a (T1059.001 mem/meter-a) Interpréteur de commandes et de scripts : PowerShell Threads Meterpreter détectés en mémoire lors d’une activité PowerShell malveillante.
C2_10a (T1071.001) Protocole de couche d’application : Protocoles Web Activité réseau malveillante sur HTTP(S). Téléchargement malveillant ou connexion Commande et contrôle.
C2_1a (T1071.001 mem/fareit-a) Protocole de couche d’application : Protocoles Web Logiciel malveillant Fareit détecté en mémoire, permettant une connexion Commande et contrôle via HTTP(S).
Impact_4a (T1486 mem/xtbl-a) Données chiffrées pour Impact Ransomware Xtbl trouvé dans les fichiers de chiffrement de la mémoire.
Exec_13a (T1055.002 mem/qakbot-a) Injection de processus : Injection d’exécutable portable Malware Qakbot détecté en mémoire lors de l’exécution d’un malware.
Exec_14a (T1055.012 mem/androm-a) Injection de processus : Process Hollowing (processus creux) Malware Andromeda trouvé en mémoire lorsque un malware est en cours d’exécution (car il utilise la technique « Process Hollowing »).
Priv_1a (T1068) Exploitation pour l’escalade des privilèges Activité malveillante dans laquelle le processus tente de faire remonter son niveau de privilège.