惡意行為類型
本頁面說明了我們在電腦或伺服器上偵測到的惡意行為所使用的名稱。
限制
此頁面不適用於 Sophos Central 中的舊版「偵測惡意行為 (HIPS)」功能
我們的行為分類符合 MITRE ATT&CK 架構。我們使用命名標準報告每個偵測,該標準提供了有關攻擊的資訊。
您可能會看到兩種類型的偵測,其命名結構如下所示。
偵測名稱範例
| 偵測類型 | 命名結構 |
|---|---|
| 惡意行為 | Tactic_1a (T1234.123) |
| 記憶體中的惡意行爲 | Tactic_1a (T1234.123 mem/family-a) |
偵測名稱包含以下內容:
- MITRE 策略類型(上表中的「
Tactic_1a」)。 - MITRE 技術編號(上表中的「
T1234.123」)。 - 惡意程式碼系列,用於記憶體中發現的威脅(上表中的「
mem/family-a」)。
MITRE 策略類型
偵測名稱的第一部分表示使用的 MITRE 策略。如需詳細資訊,請參閱 MITRE Enterprise 策略。
| 前置詞 | MITRE 策略 |
|---|---|
Access_ | TA0001 初始存取 |
Exec_ | TA0002 執行 |
Persist_ | TA0003 持續性 |
Priv_ | TA0004 權限提升 |
Evade_ | TA0005 防禦逃避 |
Cred_ | TA0006 憑證存取 |
Discovery_ | TA0007 探索 |
Lateral_ | TA0008 橫向移動 |
Collect_ | TA0009 集合 |
Exfil_ | TA0010 資料外流 |
C2_ | TA0011 指令與控制 |
Impact_ | TA0040 影響 |
除上述內容外,某些內容規則還使用以下首碼:
| 前置詞 | 描述 |
|---|---|
Disrupt_ | 封鎖與主動式攻擊相關的惡意行為。 |
Cleanup_ | 移除與其他封鎖偵測相關的惡意成品。 |
Prevent_ | 阻止可能導致防禦損害的惡意行爲。請參見以下內容: |
您可以抑制行為偵測事件,方法與停止偵測勒索軟體相同。您還可以還原補救動作,例如還原已刪除的檔案或登錄機碼,方法與停止偵測應用程式相同。請參閱如何處理威脅。
MITRE 技術編號
此編號表示與偵測事件最密切相關的 MITRE 技術(和子技術)。
例如,與惡意 PowerShell 活動相關聯的偵測事件名稱中包含 T1059.001。您可以在 https://attack.mitre.org/techniques/T1059/001/ 上查看此資訊
如需有關技術的詳細資訊,請參閱 MITRE Enterprise 技術。
惡意程式碼系列
如果偵測包含記憶體中發現的已識別的威脅,則名稱的最後一部分會指出其所屬的惡意程式碼系列。
偵測名稱範例
以下是偵測名稱及其意義的一些範例。
| 偵測名稱 | MITRE 技術 | 註解 |
|---|---|---|
Exec_6a (T1059.001) | 命令和指令碼解譯器:PowerShell | 惡意 PowerShell 活動。 |
C2_4a (T1059.001 mem/meter-a) | 命令和指令碼解譯器:PowerShell | 惡意 PowerShell 活動期間在記憶體中找到的 Meterpreter 執行緒。 |
C2_10a (T1071.001) | 應用程式層協議:Web 協議 | 透過 HTTP 進行的惡意網路活動。很可能是惡意下載或命令與控制連線。 |
C2_1a (T1071.001 mem/fareit-a) | 應用程式層協議:Web 協議 | 在記憶體中發現 Fareit 惡意程式碼,透過 HTTP 建立命令和控制連線。 |
Impact_4a (T1486 mem/xtbl-a) | 可產生影響的已加密資料 | 在記憶體加密檔案中發現 Xtbl 勒索軟體。 |
Exec_13a (T1055.002 mem/qakbot-a) | 處理程序插入式攻擊:可攜式執行檔插入 | 惡意程式碼執行時,在記憶體中發現 Qakbot 惡意程式碼。 |
Exec_14a (T1055.012 mem/androm-a) | 處理程序插入式攻擊:處理程序空白 | 惡意程式碼執行時,在記憶體中發現 Andromeda 惡意程式碼(因為它使用的處理程序空白)。 |
Priv_1a (T1068) | 利用權限提升 | 處理程序嘗試提高其權限等級的惡意活動。 |