Definições de categoria do Dell Endpoint Security Suite Enterprise Memory Protection

Produtos afetados:

• Dell Endpoint Security Suite Enterprise

Sistemas operacionais afetados:

• Windows
• Mac

Figura 1: (Somente em inglês) Detalhe do endpoint Ameaças avançadas

Stack Pivot - A pilha de um thread foi substituída por uma pilha diferente. Geralmente, o computador aloca uma única pilha para um thread. Um invasor pode usar uma pilha diferente para controlar a execução de forma que a Prevenção de Execução de Dados (DEP) não bloqueie.

Stack Protect - A proteção de memória da pilha de um thread foi modificada para habilitar a permissão de execução. A memória da pilha não deve ser executável, portanto, isso normalmente significa que um invasor está se preparando para executar código mal-intencionado armazenado na memória da pilha, como parte de uma exploração. Essa tentativa, de outra forma, seria bloqueada pela Prevenção de Execução de Dados (DEP).

Substituir código - O código que reside na memória de um processo foi modificado usando uma técnica que pode indicar uma tentativa de ignorar a Prevenção de Execução de Dados (DEP).

Raspagem de RAM – Um processo está tentando ler dados válidos de rastreamento de tarja magnética de outro processo. Normalmente, relacionados a computadores de ponto de venda (POS).

Payload mal-intencionado - Foi detectada uma detecção genérica de shellcode e payload associada à exploração.

Alocação remota de memória - Um processo alocou memória em outro processo. A maioria das alocações ocorre no mesmo processo. Isso geralmente indica uma tentativa de injetar códigos ou dados em outro processo, o que pode ser o primeiro passo para fortalecer uma presença mal-intencionada no computador.

Mapeamento remoto de memória - Um processo introduziu código ou dados em outro processo. Isso pode indicar uma tentativa de começar a executar código em outro processo e reforça uma presença mal-intencionada.

Gravação remota na memória - Um processo modificou a memória em outro processo. Geralmente, essa é uma tentativa de armazenar códigos ou dados na memória alocada anteriormente (consulte Alocação fora do processo), mas é possível que um invasor esteja tentando substituir a memória existente para desviar a execução para uma finalidade mal-intencionada.

Remote Write PE to Memory - Um processo modificou a memória em outro processo para conter uma imagem executável. Geralmente, isso indica que um invasor está tentando executar códigos sem, primeiro, gravá-los no disco.

Código de sobregravação remota - Um processo modificou a memória executável em outro processo. Em condições normais, a memória executável não é modificada, sobretudo por outro processo. Essa é geralmente uma tentativa de desviar a execução em outro processo.

Desmapeamento remoto da memória - Um processo removeu um executável do Windows da memória de outro processo. Isso pode indicar uma intenção de substituir a imagem executável por uma cópia modificada para desviar a execução.

Criação de thread remoto - Um processo criou um thread em outro processo. Os threads de um processo são criados somente por esse mesmo processo. Os invasores usam isso para ativar uma presença mal-intencionada que foi injetada em outro processo.

APC remoto agendado - Um processo desviou a execução do thread de outro processo. Isso é usado por um invasor para ativar uma presença mal-intencionada que foi injetada em outro processo.

DYLD Injection - uma variável de ambiente foi definida que faz com que uma biblioteca compartilhada seja injetada em um processo iniciado. Os ataques podem modificar o plist de aplicativos, como o Safari, ou substituir aplicativos por scripts bash que fazem com que seus módulos sejam carregados automaticamente quando um aplicativo é iniciado.

Leitura LSASS: a memória pertencente ao processo da autoridade de segurança local do Windows foi acessada de uma maneira que indica uma tentativa de obter as senhas dos usuários.

Alocação zero - Uma página nula foi alocada. A região da memória é normalmente reservada. No entanto, em determinadas circunstâncias, ela pode ser alocada. Os ataques podem usar isso para configurar o escalonamento de privilégios aproveitando alguma exploração conhecida de desatribuição nula, normalmente no kernel.

Tipo de violação por sistema operacional

A tabela a seguir faz referência a qual Tipo de violação está relacionado a qual sistema operacional.

Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.