악성 동작 유형

이 페이지에서는 컴퓨터 또는 서버에서 감지된 악성 동작에 사용하는 이름을 설명합니다.

제한

이 페이지는 Sophos Central의 레거시 "악성 동작 감지(HIPS)" 기능에 적용되지 않습니다.

당사의 동작 분류는 MITRE ATT&CK 프레임워크를 따릅니다. 공격에 대한 정보를 제공하는 명명 표준을 사용하여 각 감지 내용을 보고합니다.

아래 표시된 명명 구조와 함께 두 가지 유형의 감지 내용이 표시될 수 있습니다.

감지 이름 예

감지 유형	명명 구조
악성 행위	`Tactic_1a (T1234.123)`
메모리의 악성 동작	`Tactic_1a (T1234.123 mem/family-a)`

감지 이름은 다음과 같이 구성됩니다.

감지 이름의 첫 번째 부분은 사용된 MITRE 전술을 나타냅니다. 자세한 내용은 Mitre 엔터프라이즈 전술(MITRE Enterprise Tactics)을 참조하십시오.

위의 사항 외에도 일부 컨텍스트 규칙에서는 다음 접두사를 사용합니다.

접두사	설명
`Disrupt_`	활성 공격과 관련된 악의적인 행동을 차단합니다.
`Cleanup_`	다른 차단 감지와 관련된 악의적인 아티팩트를 제거합니다.

랜섬웨어 탐지를 중지하는 것과 같은 방식으로 동작 감지 이벤트를 억제할 수 있습니다. 응용 프로그램 감지를 중지하는 것과 같은 방법으로 삭제된 파일 또는 레지스트리 키 복원과 같은 업데이트 관리 작업을 되돌릴 수도 있습니다. 위협 처리 방법을 참조하십시오.

이 숫자는 감지 이벤트와 가장 밀접하게 연관된 MITRE 기법(및 하위 기법)을 나타냅니다.

예를 들어, 악성 PowerShell 활동과 관련된 감지에는 이름에 "T1059.001"이 포함됩니다. https://attack.mitre.org/techniques/T1059/001/에서 이 내용을 확인할 수 있습니다

기법에 대한 자세한 내용은 MITRE 엔터프라이즈 기법(MITRE Enterprise Techniques)을 참조하십시오.

메모리에서 발견되어 인식된 위협이 감지에 포함되는 경우 이름의 마지막 부분은 해당 위협이 속한 멀웨어 계열을 나타냅니다.

다음은 감지 이름과 그 의미에 대한 몇 가지 예입니다.

감지 이름	MITRE 기법	주석
`Exec_6a (T1059.001)`	명령 및 스크립팅 인터프리터: PowerShell	악성 PowerShell 활동.
`C2_4a (T1059.001 mem/meter-a)`	명령 및 스크립팅 인터프리터: PowerShell	악성 PowerShell 활동 중에 메모리에서 Meterpreter 스레드가 발견됨.
`C2_10a (T1071.001)`	응용 프로그램 계층 프로토콜: 웹 프로토콜	HTTP(S)를 통한 악성 네트워크 활동. 악성 다운로드 또는 명령 및 제어 연결 가능성이 가장 높음.
`C2_1a (T1071.001 mem/fareit-a)`	응용 프로그램 계층 프로토콜: 웹 프로토콜	메모리에서 Fareit 멀웨어가 발견되어 HTTP(S)를 통한 명령 및 제어 연결을 설정.
`Impact_4a (T1486 mem/xtbl-a)`	영향을 주기 위해 암호화된 데이터	메모리 암호화 파일에서 찾은 Xtbl 랜섬웨어.
`Exec_13a (T1055.002 mem/qakbot-a)`	프로세스 삽입: 이식 가능 실행 삽입	멀웨어가 실행될 때 메모리에서 발견된 Qakbot 멀웨어.
`Exec_14a (T1055.012 mem/androm-a)`	프로세스 삽입: 프로세스 비우기	멀웨어가 실행 중일 때 메모리에서 발견된 Andromeda 멀웨어(프로세스 비우기 사용).
`Priv_1a (T1068)`	권한 상승 악용	프로세스가 권한 수준을 상승시키려고 시도하는 경우의 악성 활동.