Vai al contenuto

Tipi di comportamenti dannosi

Questa pagina descrive i nomi che utilizziamo per i comportamenti dannosi rilevati su computer o server.

Restrizione

Questa pagina non riguarda la funzionalità legacy "Rileva comportamento dannoso (HIPS)" in Sophos Central

Le nostre classificazioni dei comportamenti sono in linea con il framework MITRE ATT&CK. Ogni rilevamento viene segnalato utilizzando uno standard di denominazione che fornisce informazioni sull'attacco.

Potrebbero essere visualizzati due tipi di rilevamento, con la struttura di denominazione mostrata di seguito.

Esempi di nomi di rilevamento

Tipo di rilevamento Struttura di denominazione
Comportamento dannoso Tactic\_1a (T1234.123)
Comportamento dannoso in memoria Tactic\_1a (T1234.123 mem/family-a)

Il nome del rilevamento è composto dalle seguenti parti:

  • Tipo di tattica MITRE (“Tactic\_1a” nella tabella sopra).
  • Numero di tecnica MITRE ("T1234.123" nella tabella sopra).
  • Famiglia di malware, per le minacce individuate nella memoria (“mem/family-a” nella tabella sopra).

Tipo di tattica MITRE

La prima parte del nome di un rilevamento indica la tattica MITRE utilizzata. Per informazioni dettagliate, vedere le MITRE Enterprise Tactics (Tattiche Enterprise MITRE).

Prefisso Tattica MITRE
Access\_ TA0001 Initial Access
Exec\_ TA0002 Execution
Persist\_ TA0003 Persistence
Priv\_ TA0004 Privilege Escalation
Evade\_ TA0005 Defense Evasion
Cred\_ TA0006 Credential Access
Discovery\_ TA0007 Discovery
Lateral\_ TA0008 Lateral Movement
Collect\_ TA0009 Collection
Exfil\_ TA0010 Exfiltration
C2\_ TA0011 Command and Control
Impact\_ TA0040 Impact

Numero di tecnica MITRE

Questo numero indica la tecnica (e sottotecnica) MITRE maggiormente associata all'evento di rilevamento.

Ad esempio, un rilevamento associato a un'attività PowerShell dannosa include “T1059.01” nel nome. Per maggiori informazioni, consultare la pagina https://attack.mitre.org/techniques/T1059/001/

Per informazioni dettagliate sulle tecniche, vedere le MITRE Enterprise Techniques (Tecniche Enterprise MITRE).

Famiglia di malware

Se i rilevamenti includono una minaccia riconosciuta, individuata nella memoria, la parte finale del nome indica la famiglia di malware a cui appartiene.

Esempi di nomi di rilevamento

Ecco alcuni esempi di nomi di rilevamento e cosa significano.

Nome di rilevamento Tecnica MITRE Commento
Exec\_6a (T1059.001) Command and Scripting Interpreter: PowerShell Attività PowerShell dannosa.
C2\_4a (T1059.001 mem/meter-a) Command and Scripting Interpreter: PowerShell Thread Meterpreter individuati in memoria durante l'attività PowerShell dannosa.
C2\_10a (T1071.001) Application Layer Protocol: Web Protocols Attività di rete dannosa su HTTP(S). Molto probabilmente download dannoso o connessione di Comando e controllo.
C2\_1a (T1071.001 mem/fareit-a) Application Layer Protocol: Web Protocols In memoria è stato rilevato malware Fareit, che effettua una connessione di comando e controllo su HTTP(S).
Impact\_4a (T1486 mem/xtbl-a) Data Encrypted for Impact In memoria è stato rilevato ransomware Xtbl, che agisce cifrando i file.
Exec\_13a (T1055.002 mem/qakbot-a) Process Injection: Portable Executable Injection In memoria è stato rilevato malware Qakbot all'esecuzione del malware.
Exec\_14a (T1055.012 mem/androm-a) Process Injection: Process Hollowing In memoria è stato rilevato malware Andromeda all'esecuzione del malware (in quanto utilizza il process hollowing).
Priv\_1a (T1068) Exploitation for Privilege Escalation Attività dannosa in cui il processo tenta di ottenere livelli più elevati di privilegi.
Torna su