Aller au contenu

Types de comportement malveillant

Cette page offre une description des noms que nous utilisons pour les comportements malveillants détectés sur les ordinateurs ou les serveurs.

Restriction

Les informations affichées ici ne s’appliquent pas à l’ancienne fonction « Détecter les comportements malveillants (HIPS) » dans Sophos Central

Nos classifications de comportement sont conformes à la structure MITRE ATT&CK. Nous rapportons chaque détection à l’aide d’une norme de dénomination fournissant des informations sur l’attaque.

Vous distinguerez deux types de détection, dont la structure de dénomination est illustrée ci-dessous.

Exemples de noms de détection

Type de détection Structure de dénomination
Comportement malveillant Tactic\_1a (T1234.123)
Comportement malveillant en mémoire Tactic\_1a (T1234.123 mem/family-a)

Le nom de détection est composé des éléments suivants :

  • Type de tactique MITRE (« Tactic\_1a » dans le tableau ci-dessus).
  • Numéro de technique MITRE (« T1234.123 » dans le tableau ci-dessus).
  • Famille de malwares, pour les menaces trouvées en mémoire (« mem/family-a » dans le tableau ci-dessus).

Type de tactique MITRE

La première partie d’un nom de détection indique la tactique MITRE utilisée. Retrouvez plus de renseignements sur Tactiques Entreprise de MITRE.

Préfixe Tactique MITRE
Access\_ TA0001 Accès initial
Exec\_ TA0002 Exécution
Persist\_ TA0003 Persistance
Priv\_ TA0004 Escalade des privilèges
Evade\_ TA0005 Évasion de défense
Cred\_ TA0006 Accès aux codes d’accès
Discovery\_ TA0007 Découverte
Lateral\_ TA0008 Mouvement latéral
Collect\_ TA0009 Collection
Exfil\_ TA0010 Exfiltration
C2\_ TA0011 Commande et contrôle
Impact\_ TA0040 Impact

Numéro de technique MITRE

Ce nombre indique la technique MITRE (et la sous-technique) la plus étroitement associée à l’événement de détection.

Par exemple, une détection associée à une activité PowerShell malveillante affiche « T1059.001 » dans son nom. Retrouvez plus de renseignements sur https://attack.mitre.org/techniques/T1059/001/

Retrouvez plus de renseignements sur les techniques sur la page Techniques Entreprise de MITRE.

Famille de malware

Si les détections incluent une menace reconnue trouvée en mémoire, la dernière partie du nom indique la famille de malware à laquelle elle appartient.

Exemples de noms de détection

Voici quelques exemples de noms de détection et de leur signification.

Nom de la détection Technique MITRE Commentaire
Exec\_6a (T1059.001) Interpréteur de commandes et de scripts : PowerShell Activité PowerShell malveillante.
C2\_4a (T1059.001 mem/meter-a) Interpréteur de commandes et de scripts : PowerShell Threads Meterpreter détectés en mémoire lors d’une activité PowerShell malveillante.
C2\_10a (T1071.001) Protocole de couche d’application : Protocoles Web Activité réseau malveillante sur HTTP(S). Téléchargement malveillant ou connexion Commande et contrôle.
C2\_1a (T1071.001 mem/fareit-a) Protocole de couche d’application : Protocoles Web Logiciel malveillant Fareit détecté en mémoire, permettant une connexion Commande et contrôle via HTTP(S).
Impact\_4a (T1486 mem/xtbl-a) Données chiffrées pour Impact Ransomware Xtbl trouvé dans les fichiers de chiffrement de la mémoire.
Exec\_13a (T1055.002 mem/qakbot-a) Injection de processus : Injection d’exécutable portable Malware Qakbot détecté en mémoire lors de l’exécution d’un malware.
Exec\_14a (T1055.012 mem/androm-a) Injection de processus : Process Hollowing (processus creux) Malware Andromeda trouvé en mémoire lorsque un malware est en cours d’exécution (car il utilise la technique « Process Hollowing »).
Priv\_1a (T1068) Exploitation pour l’escalade des privilèges Activité malveillante dans laquelle le processus tente de faire remonter son niveau de privilège.
Haut de page