跳至內容

惡意行為類型

本頁面說明了我們在電腦或伺服器上偵測到的惡意行為所使用的名稱。

限制

此頁面不適用於 Sophos Central 中的舊版「偵測惡意行為 (HIPS)」功能

我們的行為分類符合 MITRE ATT&CK 架構。我們使用命名標準報告每個偵測,該標準提供了有關攻擊的資訊。

您可能會看到兩種類型的偵測,其命名結構如下所示。

偵測名稱範例

偵測類型 命名結構
惡意行為 Tactic_1a (T1234.123)
記憶體中的惡意行爲 Tactic_1a (T1234.123 mem/family-a)

偵測名稱包含以下內容:

  • MITRE 策略類型(上表中的「actic_1a」)。
  • MITRE 技術編號(上表中的「T1234.123」)。
  • 惡意程式碼系列,用於記憶體中發現的威脅(上表中的「mem/family-a」)。

MITRE 策略類型

偵測名稱的第一部分表示使用的 MITRE 策略。如需詳細資訊,請參閱 MITRE Enterprise 策略

前置詞 MITRE 策略
Access_ TA0001 初始存取
Exec_ TA0002 執行
Persist_ TA0003 持續性
Priv_ TA0004 權限提升
Evade_ TA0005 防禦逃避
Cred_ TA0006 憑證存取
Discovery_ TA0007 探索
Lateral_ TA0008 橫向移動
Collect_ TA0009 集合
Exfil_ TA0010 資料外流
C2_ TA0011 指令與控制
Impact_ TA0040 影響

MITRE 技術編號

此編號表示與偵測事件最密切相關的 MITRE 技術(和子技術)。

例如,與惡意 PowerShell 活動相關聯的偵測事件名稱中包含 T1059.001。您可以在 https://attack.mitre.org/techniques/T1059/001/ 上查看此資訊

如需有關技術的詳細資訊,請參閱 MITRE Enterprise 技術

惡意程式碼系列

如果偵測包含記憶體中發現的已識別的威脅,則名稱的最後一部分會指出其所屬的惡意程式碼系列。

偵測名稱範例

以下是偵測名稱及其意義的一些範例。

偵測名稱 MITRE 技術 註解
Exec_6a (T1059.001) 命令和指令碼解譯器:PowerShell 惡意 PowerShell 活動。
C2_4a (T1059.001 mem/meter-a) 命令和指令碼解譯器:PowerShell 惡意 PowerShell 活動期間在記憶體中找到的 Meterpreter 執行緒。
C2_10a (T1071.001) 應用程式層協議:Web 協議 透過 HTTP 進行的惡意網路活動。很可能是惡意下載或命令與控制連線。
C2_1a (T1071.001 mem/fareit-a) 應用程式層協議:Web 協議 在記憶體中發現 Fareit 惡意程式碼,透過 HTTP 建立命令和控制連線。
Impact_4a (T1486 mem/xtbl-a) 可產生影響的已加密資料 在記憶體加密檔案中發現 Xtbl 勒索軟體。
Exec_13a (T1055.002 mem/qakbot-a) 處理程序插入式攻擊:可攜式執行檔插入 惡意程式碼執行時,在記憶體中發現 Qakbot 惡意程式碼。
Exec_14a (T1055.012 mem/androm-a) 處理程序插入式攻擊:處理程序空白 惡意程式碼執行時,在記憶體中發現 Andromeda 惡意程式碼(因為它使用的處理程序空白)。
Priv_1a (T1068) 利用權限提升 處理程序嘗試提高其權限等級的惡意活動。
回到頁首