Pular para o conteúdo

Tipos de comportamento mal-intencionado

Esta página explica os nomes que usamos para comportamentos mal-intencionados detectados em computadores ou servidores.

Restrição

Esta página não se aplica ao recurso legado "Detectar comportamentos mal-intencionados (HIPS)" no Sophos Central

Nossas classificações de comportamento estão de acordo com a estrutura MITRE ATT&CK. Relatamos cada detecção usando um padrão de nomenclatura que fornece informações sobre o ataque.

Você poderá ver dois tipos de detecção com a estrutura de nomenclatura mostrada abaixo.

Exemplos de nomes de detecção

Tipo de detecção Estrutura de nomenclatura
Comportamento Mal-Intencionado Tactic\_1a (T1234.123)
Comportamento mal-intencionado na memória Tactic\_1a (T1234.123 mem/family-a)

O nome de detecção consiste no seguinte:

  • Tipo de tática MITRE (“Tactic\_1a” na tabela acima).
  • Número da técnica MITRE ("T1234.123" na tabela acima).
  • Família de malware, para ameaças encontradas na memória (“mem/family-a” na tabela acima).

Tipo de tática MITRE

A primeira parte do nome de uma detecção indica a tática MITRE usada. Para obter detalhes completos, consulte as MITRE Enterprise Tactics.

Prefixo Tática MITRE
Access\_ TA0001 Acesso inicial
Exec\_ TA0002 Execução
Persist\_ TA0003 Persistência
Priv\_ TA0004 Escalonamento de privilégios
Evade\_ TA0005 Evasão de defesas
Cred\_ TA0006 Acesso a credenciais
Discovery\_ TA0007 Descoberta
Lateral\_ TA0008 Movimento lateral
Collect\_ TA0009 Coleção
Exfil\_ TA0010 Exfiltração
C2\_ TA0011 Comando e controle
Impact\_ TA0040 Impacto

Número da técnica MITRE

Esse número indica a técnica MITRE (e subtécnica) que mais se associa ao evento de detecção.

Por exemplo, uma detecção associada a uma atividade mal-intencionada do PowerShell inclui "T1059.001" em seu nome. Você pode consultar esses dados em https://attack.mitre.org/techniques/T1059/001/

Para obter detalhes sobre técnicas, consulte as MITRE Enterprise Techniques.

Família de malware

Se as detecções incluírem uma ameaça reconhecida encontrada na memória, a parte final do nome indica a família de malware à qual ela pertence.

Exemplos de nomes de detecção

Aqui estão alguns exemplos de nomes de detecção e o que eles significam.

Nome de detecção Técnica MITRE Comentário
Exec\_6a (T1059.001) Interpretador de comandos e scripts: PowerShell Atividade do PowerShell mal-intencionada.
C2\_4a (T1059.001 mem/meter-a) Interpretador de comandos e scripts: PowerShell Threads do Meterpreter encontrados na memória durante atividades mal-intencionadas do PowerShell.
C2\_10a (T1071.001) Protocolo de camada de aplicativo: Protocolos da Web Atividade de rede mal-intencionada via HTTP(S). Provavelmente, download mal-intencionado ou conexão de comando e controle.
C2\_1a (T1071.001 mem/fareit-a) Protocolo de camada de aplicativo: Protocolos da Web Malware Fareit encontrado na memória, fazendo conexão de comando e controle via HTTP(S).
Impact\_4a (T1486 mem/xtbl-a) Dados criptografados para impacto Ransomware Xtbl encontrado na memória, criptografando arquivos.
Exec\_13a (T1055.002 mem/qakbot-a) Injeção de processo: Injeção executável portátil Malware Qakbot encontrado na memória quando o malware é executado.
Exec\_14a (T1055.012 mem/androm-a) Injeção de processo: Esvaziamento de processo Malware Andromeda encontrado na memória quando o malware está em execução (pois usa o esvaziamento de processo).
Priv\_1a (T1068) Exploração para escalonamento de privilégios Atividade maliciosa em que o processo tenta escalar seu nível de privilégio.
Voltar ao topo