Přeskočit na hlavní obsah
  • Vkládejte objednávky snadno a rychle
  • Zobrazit objednávky a sledovat stav expedice
  • Vytvořte a přistupujte k seznamu svých produktů

Definice kategorií ochrany paměti sady Dell Endpoint Security Suite Enterprise

Shrnutí: Tento článek obsahuje definice kategorií ochrany paměti.

Tento článek se vztahuje na Tento článek se nevztahuje na Tento článek není vázán na žádný konkrétní produkt. V tomto článku nejsou uvedeny všechny verze produktu.

Pokyny

Poznámka:

Dotčené produkty:

  • Dell Endpoint Security Suite Enterprise

Dotčené operační systémy:

  • Windows
  • Mac

Poznámka: Chcete-li přejít do kategorie zpráv: Koncové body –>pokročilé hrozby –>pokusy o zneužití (aktivity hrozeb)

SLN306461_en_US__2ddpkm1130b
Obrázek 1: (Pouze v angličtině) Pokročilé hrozby v detailu koncového bodu

Pivot zásobníku – zásobník pro vlákno byl nahrazen jiným zásobníkem. Obecně počítač přiděluje na jedno vlákno jeden stoh. Útočník může použít ke kontrole spuštění jiný stoh takovým způsobem, že jej funkce zabránění spuštění dat (DEP) nedokáže zablokovat.

Ochrana zásobníku – Ochrana paměti zásobníku vlákna byla upravena tak, aby umožňovala oprávnění ke spuštění. Paměť stohu by neměla být spustitelná, takže to obvykle znamená, že útočník se v rámci útoku připravuje na spuštění škodlivého kódu uloženého v paměti stohu, což by jinak zablokovala funkce zabránění spuštění dat (DEP).

Přepsat kód – Kód umístěný v paměti procesu byl upraven pomocí techniky, která může signalizovat pokus o obejití funkce Zabránění spuštění dat (DEP).

RAM Scraping – Proces se pokouší přečíst platná data stopy magnetického proužku z jiného procesu. To obvykle souvisí s počítači na prodejním místě (POS).

Škodlivá datová část – byl zjištěn obecný shellcode a detekce datové části, která je spojena se zneužitím.

Vzdálené přidělování paměti – Proces přidělil paměť v jiném procesu. K většině přidělení dochází v rámci stejného procesu. To zpravidla značí pokus o vložení kódu nebo dat do jiného procesu, což může představovat první krok k odstranění přítomnosti škodlivého činitele v počítači.

Vzdálené mapování paměti – proces zavedl kód nebo data do jiného procesu. To může znamenat pokus o spuštění kódu v jiném procesu a posílení škodlivé přítomnosti.

Vzdálený zápis do paměti – proces změnil paměť v jiném procesu. Obvykle se jedná o pokus o uložení kódu nebo dat do dříve přidělené paměti (viz OutOfProcessAllocation), je však možné, že se útočník pokouší přepsat stávající paměť, aby mohl odklonit její spuštění se škodlivým záměrem.

Vzdálený zápis PE do paměti – Proces upravil paměť v jiném procesu tak, aby obsahovala spustitelnou bitovou kopii. Obecně to znamená, že se útočník pokouší spustit kód bez jeho dřívějšího zápisu na disk.

Kód vzdáleného přepsání – Proces změnil spustitelnou paměť v jiném procesu. Za normálních podmínek k úpravě spustitelné paměti nedojde, zejména ze strany jiného procesu. To obvykle značí pokus o odklonění spuštění v jiném procesu.

Vzdálené nenamapování paměti – Proces odebral spustitelný soubor systému Windows z paměti jiného procesu. To může značit snahu o náhradu spustitelné bitové kopie pomocí upravené bitové kopie za účelem odklonění spuštění.

Vzdálené vytvoření vlákna – proces vytvořil vlákno v jiném procesu. Vlákna procesu se vytváří pouze stejným procesem. Útočníci to používají k aktivaci škodlivé přítomnosti, která byla vložena do jiného procesu.

Vzdálené naplánováno APC – Proces přesměroval provádění vlákna jiného procesu. Útočník toho využije k aktivaci škodlivého stavu, který byl vložen do jiného procesu.

DYLD Injection – byla nastavena proměnná prostředí, která způsobí vložení sdílené knihovny do spuštěného procesu. Útoky mohou upravit seznam vlastností aplikací, jako je Safari, nebo nahradit aplikace pomocí skriptů bash, které způsobí automatické načtení jejich modulů při spuštění aplikace.

Čtení služby LSASS – k paměti patřící procesu místní autority zabezpečení systému Windows bylo přistupováno způsobem, který značí pokus o získání hesel uživatelů.

Přidělení nuly – byla přidělena nulová stránka. Oblast paměti je obvykle vyhrazena, ale za určitých okolností ji lze přidělit. Útoky toho mohou využít k nastavení eskalace oprávnění tím, že využijí některé známé zneužití nulové dereference, obvykle v jádře.

Typ porušení podle operačního systému

Následující tabulka uvádí, který typ porušení se vztahuje ke kterému operačnímu systému.

Zadejte příkaz Operační systém
Stack Pivot Windows, OS X
Stack Protect Windows, OS X
Overwrite Code Windows
Získávání dat z paměti RAM Windows
Malicious Payload Windows
Remote Allocation of Memory Windows, OS X
Remote Mapping of Memory Windows, OS X
Remote Write to Memory Windows, OS X
Remote Write PE to Memory Windows
Remote Overwrite Code Windows
Remote Unmap of Memory Windows
Vzdálené vytváření hrozeb Windows, OS X
Remote APC Scheduled Windows
Injektáž DYLD OS X
Čtení LSAAS Windows
Zero Allocate Windows, OS X

Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.

Další informace

 

Videa

 

Dotčené produkty

Dell Endpoint Security Suite Enterprise
Vlastnosti článku
Číslo článku: 000124724
Typ článku: How To
Poslední úprava: 07 May 2024
Verze:  8
Najděte odpovědi na své otázky od ostatních uživatelů společnosti Dell
Služby podpory
Zkontrolujte, zda se na vaše zařízení vztahují služby podpory.