Auf dieser Seite werden die Namen erläutert, die wir für schädliches Verhalten verwenden, das auf Computern oder Servern erkannt wurde.
Unsere Verhaltensklassifizierungen entsprechen dem „MITRE ATT&CK“-Framework. Wir melden alle Erkennungen anhand eines Namensstandards, der Ihnen Informationen über den Angriff liefert.
Es können zwei Erkennungsarten mit der unten gezeigten Namensstruktur angezeigt werden.
|
Erkennungstyp |
Namensstruktur |
|---|---|
|
Schädliches Verhalten |
Tactic_1a (T1234.123) |
|
Schädliches Verhalten im Speicher |
Tactic_1a (T1234.123 mem/family-a) |
Der Erkennungsname besteht aus folgenden Komponenten:
Der erste Teil eines Erkennungsnamens gibt die verwendete MITRE-Taktik an. Weitere Informationen finden Sie unter „MITRE-Enterprise-Taktiken“.
|
Präfix |
MITRE-Taktik |
|---|---|
|
Access_ |
TA0001 Erstzugriff |
|
Exec_ |
TA0002 Ausführung |
|
Persist_ |
TA0003 Persistenz |
|
Priv_ |
TA0004 Rechteausweitung |
|
Evade_ |
TA0005 Umgehung der Abwehr |
|
Cred_ |
TA0006 Zugriff auf Anmeldeinformationen |
|
Discovery_ |
TA0007 Erkennung |
|
Lateral_ |
TA0008 Laterale Bewegung |
|
Collect_ |
TA0009 Sammlung |
|
Exfil_ |
TA0010 Exfiltration |
|
C2_ |
TA0011 Command and Control |
|
Impact_ |
TA0040 Auswirkungen |
Diese Zahl gibt die MITRE-Technik (und Untertechnik) an, die dem Erkennungsereignis am nächsten kommt.
Beispielsweise enthält eine Erkennung, die mit schädlichen PowerShell-Aktivitäten verbunden ist, „T1059.001“ im Namen. Sie können dies unter https://attack.mitre.org/techniques/T1059/001/ nachsehen.
Einzelheiten zu Techniken finden Sie unter „MITRE Enterprise-Techniken“.
Wenn Erkennungen eine erkannte Bedrohung enthalten, die im Speicher gefunden wurde, zeigt der letzte Teil des Namens die Malware-Familie an, zu der sie gehört.
Hier sind einige Beispiele für Erkennungsnamen und ihre Bedeutung.
|
Name der Erkennung |
MITRE-Technik |
Kommentar |
|---|---|---|
|
Exec_6a (T1059.001) |
„Command and Scripting“-Interpreter: PowerShell |
Schädliche PowerShell-Aktivität. |
|
C2_4a (T1059.001 mem/meter-a) |
„Command and Scripting“-Interpreter: PowerShell |
Meterpreter-Threads, die im Zuge schädlicher PowerShell-Aktivitäten im Speicher gefunden wurden. |
|
C2_10a (T1071.001) |
Anwendungsprotokoll: Webprotokolle |
Schädliche Netzwerkaktivität über HTTP(S). Wahrscheinlich schädlicher Download oder verdächtige „Command & Control“-Verbindung. |
|
C2_1a (T1071.001 mem/fareit-a) |
Anwendungsprotokoll: Webprotokolle |
Fareit-Malware im Speicher gefunden, die eine „Command & Control“-Verbindung über HTTP(S) herstellt. |
|
Impact_4a (T1486 mem/xtbl-a) |
Daten für Auswirkung verschlüsselt |
Xtbl-Ransomware in speicherverschlüsselnden Dateien gefunden. |
|
Exec_13a (T1055.002 mem/qakbot-a) |
Prozessinjektion: Portable-Executable-Injektion |
Qakbot-Malware im Speicher gefunden, wenn Malware ausgeführt wird. |
|
Exec_14a (T1055.012 mem/androm-a) |
Prozessinjektion: Process Hollowing |
Andromeda-Malware im Speicher gefunden, wenn Malware ausgeführt wird (durch Process Hollowing). |
|
Priv_1a (T1068) |
Exploit von Rechteausweitung |
Schädliche Aktivität, bei der der Prozess versucht, seine Berechtigungsstufe zu erhöhen. |