概述
https://github.com/MBCProject/mbc-markdown
矩阵:https://raw.githubusercontent.com/MBCProject/mbc-markdown/master/yfaq/mbc_matrix_with_ids.svg、https://raw.githubusercontent.com/MBCProject/mbc-markdown/master/yfaq/mbc_matrix_without_ids.svg
MBC 恶意软件语料库包含各种恶意软件,其中每个条目都被分解为映射到 ATT&CK 和 MBC 的行为。这些映射基于开源恶意软件分析报告,分为三类:“ATT&CK 技术”、“增强型 ATT&CK 技术”和“MBC 行为”。
ATT&CK 技术– 如果恶意软件条目未包含在 ATT&CK 的软件集合中,则会列出其恶意软件行为映射到的所有 ATT&CK 技术。如果 ATT&CK 的软件集合中包含恶意软件条目,则会在“ATT&CK 技术”下引用相应的软件页面( ATT&CK 中未捕获的个别映射仍会列出)。这些技术有 T 个标识符(例如,T1012)。
增强的 ATT&CK 技术– 任何将在“ATT&CK 技术”下列出但在 MBC 中得到增强的 ATT&CK 技术都列在本节中。这些技术具有 E 和 F 标识符(例如,E1560、F0008)。
MBC 行为– 此部分列出了条目的恶意软件行为映射到的所有 MBC 行为。这些技术具有 B 和 C 标识符(例如 B0032、C0010)。
主体 | 描述 |
---|---|
反行为分析 | 恶意软件旨在防止、阻碍或逃避行为分析,例如使用沙箱或调试器进行的分析。 |
防静态分析 | 恶意软件旨在防止静态分析或使其更加困难。 |
收集 | 恶意软件旨在从机器或网络中识别和收集信息。 |
命令与控制 | 恶意软件旨在与受感染的系统通信以控制它们。 |
凭据访问 | 恶意软件旨在窃取帐户名和密码。 |
防御规避 | 恶意软件旨在逃避检测。 |
发现 | 恶意软件旨在获取有关环境的知识。 |
执行 | 恶意软件旨在在系统上执行代码。 |
渗透 | 恶意软件旨在窃取数据。 |
影响 | 恶意软件旨在操纵、中断或破坏系统或数据。 |
横向运动 | 恶意软件旨在传播或以其他方式在环境中移动。横向移动可能是主动的,通过直接机器访问发生,也可能是被动的(例如,通过恶意电子邮件完成)。 |
维持 | 恶意软件旨在保留在系统上。 |
权限提升 | 恶意软件旨在获得更高级别的权限。 |