Auf dieser Seite werden die Namen erläutert, die wir für schädliches Verhalten verwenden, das auf Computern oder Servern erkannt wurde.
Unsere Verhaltensklassifizierungen entsprechen dem „MITRE ATT&CK“-Framework. Wir melden alle Erkennungen anhand eines Namensstandards, der Ihnen Informationen über den Angriff liefert.
Es können zwei Erkennungsarten mit der unten gezeigten Namensstruktur angezeigt werden.
Erkennungstyp |
Namensstruktur |
---|---|
Schädliches Verhalten |
Tactic_1a (T1234.123) |
Schädliches Verhalten im Speicher |
Tactic_1a (T1234.123 mem/family-a) |
Der Erkennungsname besteht aus folgenden Komponenten:
Der erste Teil eines Erkennungsnamens gibt die verwendete MITRE-Taktik an. Weitere Informationen finden Sie unter „MITRE-Enterprise-Taktiken“.
Präfix |
MITRE-Taktik |
---|---|
Access_ |
TA0001 Erstzugriff |
Exec_ |
TA0002 Ausführung |
Persist_ |
TA0003 Persistenz |
Priv_ |
TA0004 Rechteausweitung |
Evade_ |
TA0005 Umgehung der Abwehr |
Cred_ |
TA0006 Zugriff auf Anmeldeinformationen |
Discovery_ |
TA0007 Erkennung |
Lateral_ |
TA0008 Laterale Bewegung |
Collect_ |
TA0009 Sammlung |
Exfil_ |
TA0010 Exfiltration |
C2_ |
TA0011 Command and Control |
Impact_ |
TA0040 Auswirkungen |
Diese Zahl gibt die MITRE-Technik (und Untertechnik) an, die dem Erkennungsereignis am nächsten kommt.
Beispielsweise enthält eine Erkennung, die mit schädlichen PowerShell-Aktivitäten verbunden ist, „T1059.001“ im Namen. Sie können dies unter https://attack.mitre.org/techniques/T1059/001/ nachsehen.
Einzelheiten zu Techniken finden Sie unter „MITRE Enterprise-Techniken“.
Wenn Erkennungen eine erkannte Bedrohung enthalten, die im Speicher gefunden wurde, zeigt der letzte Teil des Namens die Malware-Familie an, zu der sie gehört.
Hier sind einige Beispiele für Erkennungsnamen und ihre Bedeutung.
Name der Erkennung |
MITRE-Technik |
Kommentar |
---|---|---|
Exec_6a (T1059.001) |
„Command and Scripting“-Interpreter: PowerShell |
Schädliche PowerShell-Aktivität. |
C2_4a (T1059.001 mem/meter-a) |
„Command and Scripting“-Interpreter: PowerShell |
Meterpreter-Threads, die im Zuge schädlicher PowerShell-Aktivitäten im Speicher gefunden wurden. |
C2_10a (T1071.001) |
Anwendungsprotokoll: Webprotokolle |
Schädliche Netzwerkaktivität über HTTP(S). Wahrscheinlich schädlicher Download oder verdächtige „Command & Control“-Verbindung. |
C2_1a (T1071.001 mem/fareit-a) |
Anwendungsprotokoll: Webprotokolle |
Fareit-Malware im Speicher gefunden, die eine „Command & Control“-Verbindung über HTTP(S) herstellt. |
Impact_4a (T1486 mem/xtbl-a) |
Daten für Auswirkung verschlüsselt |
Xtbl-Ransomware in speicherverschlüsselnden Dateien gefunden. |
Exec_13a (T1055.002 mem/qakbot-a) |
Prozessinjektion: Portable-Executable-Injektion |
Qakbot-Malware im Speicher gefunden, wenn Malware ausgeführt wird. |
Exec_14a (T1055.012 mem/androm-a) |
Prozessinjektion: Process Hollowing |
Andromeda-Malware im Speicher gefunden, wenn Malware ausgeführt wird (durch Process Hollowing). |
Priv_1a (T1068) |
Exploit von Rechteausweitung |
Schädliche Aktivität, bei der der Prozess versucht, seine Berechtigungsstufe zu erhöhen. |