Tipos de comportamento mal-intencionado
Esta página explica os nomes que usamos para comportamentos mal-intencionados detectados em computadores ou servidores.
Restrição
Esta página não se aplica ao recurso legado "Detectar comportamentos mal-intencionados (HIPS)" no Sophos Central
Nossas classificações de comportamento estão de acordo com a estrutura MITRE ATT&CK. Relatamos cada detecção usando um padrão de nomenclatura que fornece informações sobre o ataque.
Você poderá ver dois tipos de detecção com a estrutura de nomenclatura mostrada abaixo.
Exemplos de nomes de detecção
Tipo de detecção | Estrutura de nomenclatura |
---|---|
Comportamento Mal-Intencionado | Tactic_1a (T1234.123) |
Comportamento mal-intencionado na memória | Tactic_1a (T1234.123 mem/family-a) |
O nome de detecção consiste no seguinte:
- Tipo de tática MITRE (“
Tactic_1a
” na tabela acima). - Número da técnica MITRE ("
T1234.123
" na tabela acima). - Família de malware, para ameaças encontradas na memória (“
mem/family-a
” na tabela acima).
Tipo de tática MITRE
A primeira parte do nome de uma detecção indica a tática MITRE usada. Para obter detalhes completos, consulte as MITRE Enterprise Tactics.
Prefixo | Tática MITRE |
---|---|
Access_ | TA0001 Acesso inicial |
Exec_ | TA0002 Execução |
Persist_ | TA0003 Persistência |
Priv_ | TA0004 Escalonamento de privilégios |
Evade_ | TA0005 Evasão de defesas |
Cred_ | TA0006 Acesso a credenciais |
Discovery_ | TA0007 Descoberta |
Lateral_ | TA0008 Movimento lateral |
Collect_ | TA0009 Coleção |
Exfil_ | TA0010 Exfiltração |
C2_ | TA0011 Comando e controle |
Impact_ | TA0040 Impacto |
Além do acima, algumas regras contextuais usam os seguintes prefixos:
Prefixo | Descrição |
---|---|
Disrupt_ | Bloquear o comportamento mal-intencionado associado a ataques adversários ativos. |
Cleanup_ | Remover artefatos mal-intencionados associados a outra detecção de bloqueio. |
Você pode suprimir eventos de detecção de comportamento da mesma forma que interrompe a detecção de ransomware. Você também pode reverter ações de correção, como restaurar arquivos excluídos ou chaves do registro, da mesma forma que interrompe a detecção de um aplicativo. Consulte Como lidar com ameaças.
Número da técnica MITRE
Esse número indica a técnica MITRE (e subtécnica) que mais se associa ao evento de detecção.
Por exemplo, uma detecção associada a uma atividade mal-intencionada do PowerShell inclui "T1059.001" em seu nome. Você pode consultar esses dados em https://attack.mitre.org/techniques/T1059/001/
Para obter detalhes sobre técnicas, consulte as MITRE Enterprise Techniques.
Família de malware
Se as detecções incluírem uma ameaça reconhecida encontrada na memória, a parte final do nome indica a família de malware à qual ela pertence.
Exemplos de nomes de detecção
Aqui estão alguns exemplos de nomes de detecção e o que eles significam.
Nome de detecção | Técnica MITRE | Comentário |
---|---|---|
Exec_6a (T1059.001) | Interpretador de comandos e scripts: PowerShell | Atividade do PowerShell mal-intencionada. |
C2_4a (T1059.001 mem/meter-a) | Interpretador de comandos e scripts: PowerShell | Threads do Meterpreter encontrados na memória durante atividades mal-intencionadas do PowerShell. |
C2_10a (T1071.001) | Protocolo de camada de aplicativo: Protocolos da Web | Atividade de rede mal-intencionada via HTTP(S). Provavelmente, download mal-intencionado ou conexão de comando e controle. |
C2_1a (T1071.001 mem/fareit-a) | Protocolo de camada de aplicativo: Protocolos da Web | Malware Fareit encontrado na memória, fazendo conexão de comando e controle via HTTP(S). |
Impact_4a (T1486 mem/xtbl-a) | Dados criptografados para impacto | Ransomware Xtbl encontrado na memória, criptografando arquivos. |
Exec_13a (T1055.002 mem/qakbot-a) | Injeção de processo: Injeção executável portátil | Malware Qakbot encontrado na memória quando o malware é executado. |
Exec_14a (T1055.012 mem/androm-a) | Injeção de processo: Esvaziamento de processo | Malware Andromeda encontrado na memória quando o malware está em execução (pois usa o esvaziamento de processo). |
Priv_1a (T1068) | Exploração para escalonamento de privilégios | Atividade maliciosa em que o processo tenta escalar seu nível de privilégio. |