Pular para o conteúdo

Tipos de comportamento mal-intencionado

Esta página explica os nomes que usamos para comportamentos mal-intencionados detectados em computadores ou servidores.

Restrição

Esta página não se aplica ao recurso legado "Detectar comportamentos mal-intencionados (HIPS)" no Sophos Central

Nossas classificações de comportamento estão de acordo com a estrutura MITRE ATT&CK. Relatamos cada detecção usando um padrão de nomenclatura que fornece informações sobre o ataque.

Você poderá ver dois tipos de detecção com a estrutura de nomenclatura mostrada abaixo.

Exemplos de nomes de detecção

Tipo de detecção Estrutura de nomenclatura
Comportamento Mal-Intencionado Tactic_1a (T1234.123)
Comportamento mal-intencionado na memória Tactic_1a (T1234.123 mem/family-a)

O nome de detecção consiste no seguinte:

  • Tipo de tática MITRE (“Tactic_1a” na tabela acima).
  • Número da técnica MITRE ("T1234.123" na tabela acima).
  • Família de malware, para ameaças encontradas na memória (“mem/family-a” na tabela acima).

Tipo de tática MITRE

A primeira parte do nome de uma detecção indica a tática MITRE usada. Para obter detalhes completos, consulte as MITRE Enterprise Tactics.

Prefixo Tática MITRE
Access_ TA0001 Acesso inicial
Exec_ TA0002 Execução
Persist_ TA0003 Persistência
Priv_ TA0004 Escalonamento de privilégios
Evade_ TA0005 Evasão de defesas
Cred_ TA0006 Acesso a credenciais
Discovery_ TA0007 Descoberta
Lateral_ TA0008 Movimento lateral
Collect_ TA0009 Coleção
Exfil_ TA0010 Exfiltração
C2_ TA0011 Comando e controle
Impact_ TA0040 Impacto

Número da técnica MITRE

Esse número indica a técnica MITRE (e subtécnica) que mais se associa ao evento de detecção.

Por exemplo, uma detecção associada a uma atividade mal-intencionada do PowerShell inclui "T1059.001" em seu nome. Você pode consultar esses dados em https://attack.mitre.org/techniques/T1059/001/

Para obter detalhes sobre técnicas, consulte as MITRE Enterprise Techniques.

Família de malware

Se as detecções incluírem uma ameaça reconhecida encontrada na memória, a parte final do nome indica a família de malware à qual ela pertence.

Exemplos de nomes de detecção

Aqui estão alguns exemplos de nomes de detecção e o que eles significam.

Nome de detecção Técnica MITRE Comentário
Exec_6a (T1059.001) Interpretador de comandos e scripts: PowerShell Atividade do PowerShell mal-intencionada.
C2_4a (T1059.001 mem/meter-a) Interpretador de comandos e scripts: PowerShell Threads do Meterpreter encontrados na memória durante atividades mal-intencionadas do PowerShell.
C2_10a (T1071.001) Protocolo de camada de aplicativo: Protocolos da Web Atividade de rede mal-intencionada via HTTP(S). Provavelmente, download mal-intencionado ou conexão de comando e controle.
C2_1a (T1071.001 mem/fareit-a) Protocolo de camada de aplicativo: Protocolos da Web Malware Fareit encontrado na memória, fazendo conexão de comando e controle via HTTP(S).
Impact_4a (T1486 mem/xtbl-a) Dados criptografados para impacto Ransomware Xtbl encontrado na memória, criptografando arquivos.
Exec_13a (T1055.002 mem/qakbot-a) Injeção de processo: Injeção executável portátil Malware Qakbot encontrado na memória quando o malware é executado.
Exec_14a (T1055.012 mem/androm-a) Injeção de processo: Esvaziamento de processo Malware Andromeda encontrado na memória quando o malware está em execução (pois usa o esvaziamento de processo).
Priv_1a (T1068) Exploração para escalonamento de privilégios Atividade maliciosa em que o processo tenta escalar seu nível de privilégio.
Voltar ao topo