Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), в соответствии с которым выполнено обнаружение.
По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.
База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.
Поле отображается, если при создании события сработало правило TAA (IOA).
Поле отображается, если внедрение кода произошло с помощью метода ARG_SPOOFING.
MD5 – MD5-хеш файла целевого процесса.
SHA256 – SHA256-хеш файла целевого процесса.
Метод доступа – метод доступа к целевому процессу.
В поле могут отображаться следующие значения: WRITE_EXECUTABLE_MEMORY, SET_WINDOWS_HOOK, QUEUE_APC_THREAD, SET_THREAD_CONTEXT – .MAP_VIEW_OF_SECTION, CREATE_REMOTE_THREAD, ARG_SPOOFING.
Адресное пространство – адрес в адресном пространстве целевого процесса, куда был размещен удаленно запускаемый код.
Поле не заполняется, если внедрение кода произошло с помощью методов SET_WINDOWS_HOOK и ARG_SPOOFING.
Параметры системного вызова – команда, с которой был запущен целевой процесс.
Имя DLL – имя DLL, содержащей процедуру перехватчика и имя функции, которой передается управление после внедрения.
Поле заполняется, если внедрение кода произошло с помощью метода SET_WINDOWS_HOOK.
Полный путь к DLL – путь к DLL, содержащей процедуру перехватчика.
Поле заполняется, если внедрение кода произошло с помощью метода SET_WINDOWS_HOOK.
Время события – время внедрения кода.
Трассировка вызова – стек вызовов API на момент перехвата функции, связанной с внедрением кода.
Раздел Инициатор события:
Файл – имя файла родительского процесса.
MD5 – MD5-хеш файла родительского процесса.
SHA256 – SHA256-хеш файла родительского процесса.
Раздел Сведения о системе:
Имя хоста – имя хоста, на котором произошло внедрение кода.
Имя пользователя – имя пользователя, под учетной записью которого произошло внедрение кода.
Версия ОС – версия операционной системы, используемой на хосте.