Vai al contenuto

Tipi di comportamenti dannosi

Questa pagina descrive i nomi che utilizziamo per i comportamenti dannosi rilevati su computer o server.

Restrizione

Questa pagina non riguarda la funzionalità legacy "Rileva comportamento dannoso (HIPS)" in Sophos Central

Le nostre classificazioni dei comportamenti sono in linea con il framework MITRE ATT&CK. Ogni rilevamento viene segnalato utilizzando uno standard di denominazione che fornisce informazioni sull'attacco.

Potrebbero essere visualizzati due tipi di rilevamento, con la struttura di denominazione mostrata di seguito.

Esempi di nomi di rilevamento

Tipo di rilevamento Struttura di denominazione
Comportamento dannoso Tactic_1a (T1234.123)
Comportamento dannoso in memoria Tactic_1a (T1234.123 mem/family-a)

Il nome del rilevamento è composto dalle seguenti parti:

  • Tipo di tattica MITRE (“Tactic_1a” nella tabella sopra).
  • Numero di tecnica MITRE ("T1234.123" nella tabella sopra).
  • Famiglia di malware, per le minacce individuate nella memoria (“mem/family-a” nella tabella sopra).

Tipo di tattica MITRE

La prima parte del nome di un rilevamento indica la tattica MITRE utilizzata. Per informazioni dettagliate, vedere le MITRE Enterprise Tactics (Tattiche Enterprise MITRE).

Prefisso Tattica MITRE
Access_ TA0001 Initial Access
Exec_ TA0002 Execution
Persist_ TA0003 Persistence
Priv_ TA0004 Privilege Escalation
Evade_ TA0005 Defense Evasion
Cred_ TA0006 Credential Access
Discovery_ TA0007 Discovery
Lateral_ TA0008 Lateral Movement
Collect_ TA0009 Collection
Exfil_ TA0010 Exfiltration
C2_ TA0011 Command and Control
Impact_ TA0040 Impact

Oltre a quanto indicato sopra, alcune regole contestuali utilizzano i seguenti prefissi:

Prefisso Descrizione
Disrupt_ Blocca i comportamenti dannosi associati agli attacchi dei cybercriminali.
Cleanup_ Rimuove gli elementi dannosi associati a un altro rilevamento risultato in un blocco.

Gli eventi del rilevamento basato sui comportamenti possono essere sospesi nello stesso modo in cui si interrompe il rilevamento del ransomware. È anche possibile ripristinare le azioni correttive (ad es. il ripristino di file o chiavi di registro eliminati) nello stesso modo in cui si interrompe il rilevamento di un’applicazione. Vedere Come procedere con le minacce.

Numero di tecnica MITRE

Questo numero indica la tecnica (e sottotecnica) MITRE maggiormente associata all'evento di rilevamento.

Ad esempio, un rilevamento associato a un'attività PowerShell dannosa include “T1059.01” nel nome. Per maggiori informazioni, consultare la pagina https://attack.mitre.org/techniques/T1059/001/

Per informazioni dettagliate sulle tecniche, vedere le MITRE Enterprise Techniques (Tecniche Enterprise MITRE).

Famiglia di malware

Se i rilevamenti includono una minaccia riconosciuta, individuata nella memoria, la parte finale del nome indica la famiglia di malware a cui appartiene.

Esempi di nomi di rilevamento

Ecco alcuni esempi di nomi di rilevamento e cosa significano.

Nome di rilevamento Tecnica MITRE Commento
Exec_6a (T1059.001) Command and Scripting Interpreter: PowerShell Attività PowerShell dannosa.
C2_4a (T1059.001 mem/meter-a) Command and Scripting Interpreter: PowerShell Thread Meterpreter individuati in memoria durante l'attività PowerShell dannosa.
C2_10a (T1071.001) Application Layer Protocol: Web Protocols Attività di rete dannosa su HTTP(S). Molto probabilmente download dannoso o connessione di Comando e controllo.
C2_1a (T1071.001 mem/fareit-a) Application Layer Protocol: Web Protocols In memoria è stato rilevato malware Fareit, che effettua una connessione di comando e controllo su HTTP(S).
Impact_4a (T1486 mem/xtbl-a) Data Encrypted for Impact In memoria è stato rilevato ransomware Xtbl, che agisce cifrando i file.
Exec_13a (T1055.002 mem/qakbot-a) Process Injection: Portable Executable Injection In memoria è stato rilevato malware Qakbot all'esecuzione del malware.
Exec_14a (T1055.012 mem/androm-a) Process Injection: Process Hollowing In memoria è stato rilevato malware Andromeda all'esecuzione del malware (in quanto utilizza il process hollowing).
Priv_1a (T1068) Exploitation for Privilege Escalation Attività dannosa in cui il processo tenta di ottenere livelli più elevati di privilegi.