-
Notifications
You must be signed in to change notification settings - Fork 15
/
Copy paththreat-actor-leveraging-attack-patterns-and-malware.xml
executable file
·73 lines (72 loc) · 3.7 KB
/
threat-actor-leveraging-attack-patterns-and-malware.xml
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
<stix:STIX_Package
xmlns:stix="http://stix.mitre.org/stix-1"
xmlns:ta="http://stix.mitre.org/ThreatActor-1"
xmlns:xlink="http://www.w3.org/1999/xlink"
xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
xmlns:example="http://example.com"
xmlns:ds="http://www.w3.org/2000/09/xmldsig#"
xmlns:stixCommon="http://stix.mitre.org/common-1"
xmlns:ttp="http://stix.mitre.org/TTP-1"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:xpil="urn:oasis:names:tc:ciq:xpil:3"
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:stix-ciqidentity="http://stix.mitre.org/extensions/Identity#CIQIdentity3.0-1"
id="example:STIXPackage-161f8ade-b67d-41e3-b8af-f01faf20d111" version="1.2">
<stix:TTPs>
<stix:TTP id="example:ttp-8ac90ff3-ecf8-4835-95b8-6aea6a623df5" timestamp="2017-01-27T13:49:54.326000+00:00" xsi:type='ttp:TTPType'>
<ttp:Behavior>
<ttp:Attack_Patterns>
<ttp:Attack_Pattern capec_id="CAPEC-98">
<ttp:Title>Phishing</ttp:Title>
<ttp:Description>Phishing</ttp:Description>
</ttp:Attack_Pattern>
</ttp:Attack_Patterns>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:TTP idref="example:ttp-1621d4d2-b67d-41e3-ba9e-f01faf20d111" xsi:type='ttp:TTPType'/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP id="example:ttp-1621d4d2-b67d-41e3-ba9e-f01faf20d111" timestamp="2017-01-27T13:49:54.326000+00:00" xsi:type='ttp:TTPType'>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Type xsi:type="stixVocabs:MalwareTypeVocab-1.0">Remote Access Trojan</ttp:Type>
<ttp:Name>Poison Ivy Variant d1c6</ttp:Name>
<ttp:Description>
TITLE:
Poison Ivy Variant d1c6</ttp:Description>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
</stix:TTP>
</stix:TTPs>
<stix:Threat_Actors>
<stix:Threat_Actor id="example:threat-actor-9a8a0d25-7636-429b-a99e-b2a73cd0f11f" timestamp="2017-01-27T13:49:54.326000+00:00" xsi:type='ta:ThreatActorType'>
<ta:Title>Adversary Bravo</ta:Title>
<ta:Identity id="example:identity-1621d4d4-b67d-41e3-9670-f01faf20d111" xsi:type="stix-ciqidentity:CIQIdentity3.0InstanceType">
<stixCommon:Name>Adversary Bravo</stixCommon:Name>
<stix-ciqidentity:Specification xmlns:stix-ciqidentity="http://stix.mitre.org/extensions/Identity#CIQIdentity3.0-1">
<xpil:FreeTextLines xmlns:xpil="urn:oasis:names:tc:ciq:xpil:3">
<xpil:FreeTextLine>identity_class: unknown</xpil:FreeTextLine>
</xpil:FreeTextLines>
</stix-ciqidentity:Specification>
</ta:Identity>
<ta:Type timestamp="2018-05-06T16:57:09.692723+00:00">
<stixCommon:Value>State Actor / Agency</stixCommon:Value>
</ta:Type>
<ta:Sophistication timestamp="2018-05-06T16:57:09.692815+00:00">
<stixCommon:Value>Expert</stixCommon:Value>
</ta:Sophistication>
<ta:Observed_TTPs>
<ta:Observed_TTP>
<stixCommon:TTP idref="example:ttp-8ac90ff3-ecf8-4835-95b8-6aea6a623df5" xsi:type='ttp:TTPType'/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:TTP idref="example:ttp-1621d4d2-b67d-41e3-ba9e-f01faf20d111" xsi:type='ttp:TTPType'/>
</ta:Observed_TTP>
</ta:Observed_TTPs>
</stix:Threat_Actor>
</stix:Threat_Actors>
</stix:STIX_Package>