Définitions des catégories de protection de la mémoire pour Dell Endpoint Security Suite Enterprise

Produits concernés :

• Dell Endpoint Security Suite Enterprise

Systèmes d’exploitation concernés :

• Windows
• Mac

Figure 1 : (En anglais uniquement) Endpoint Detail Advanced Threats

Stack Pivot : la pile d’un thread a été remplacée par une autre pile. En règle générale, l'ordinateur alloue une pile unique à un thread. Un attaquant utiliserait une pile différente pour contrôler l'exécution de sorte que la prévention d'exécution des données (DEP) ne la bloque pas.

Protection de la pile : la protection de la mémoire de la pile d’un thread a été modifiée pour activer l’autorisation d’exécution. La mémoire de la pile ne doit pas être exécutable. Cela signifie généralement qu'un attaquant se prépare à exécuter un code malveillant stocké dans la mémoire de la pile dans le cadre d'une attaque, une tentative que la prévention d'exécution des données (DEP) bloquerait autrement.

Overwrite Code : le code résidant dans la mémoire d’un processus a été modifié à l’aide d’une technique qui peut indiquer une tentative de contournement de la prévention d’exécution des données (DEP).

Raclage de la RAM : un processus tente de lire des données de piste de bande magnétique valides provenant d’un autre processus. Phénomène généralement lié aux ordinateurs de point de vente.

Charge utile malveillante : une détection générique de shellcode et de charge utile associée à une exploitation a été détectée.

Allocation de mémoire à distance - Un processus a alloué de la mémoire dans un autre processus. La plupart des allocations se produisent au sein du même processus. Cela indique généralement une tentative d'injection de code ou de données dans un autre processus, ce qui peut être une première étape pour renforcer une présence malveillante sur un ordinateur.

Mappage à distance de la mémoire : un processus a introduit du code ou des données dans un autre processus. Cela peut indiquer une tentative d’exécution du code dans un autre processus et renforcer une présence malveillante.

Écriture à distance dans la mémoire : un processus a modifié la mémoire dans un autre processus. Il s'agit généralement d'une tentative de stockage du code ou des données dans la mémoire précédemment allouée (consultez OutOfProcessAllocation), mais il est possible qu'un attaquant tente d'écraser la mémoire existante afin de détourner l'exécution à des fins malveillantes.

Remote Write PE to Memory : un processus a modifié la mémoire dans un autre processus pour contenir une image exécutable. En règle générale, cela indique qu'un attaquant tente d'exécuter du code sans l'écrire au préalable sur le disque.

Code d’écrasement à distance : un processus a modifié la mémoire exécutable dans un autre processus. Dans des conditions normales, la mémoire exécutable n'est pas modifiée, encore moins par un autre processus. Cela indique généralement une tentative de détournement de l'exécution dans un autre processus.

Démappage à distance de la mémoire : un processus a supprimé un fichier exécutable Windows de la mémoire d’un autre processus. Cela peut indiquer une intention de remplacement de l'image d'exécutable par une copie modifiée pour détourner l'exécution.

Création de thread à distance : un processus a créé un thread dans un autre processus. Les threads d'un processus sont uniquement créés par ce même processus. Les attaquants l’utilisent pour activer une présence malveillante qui a été injectée dans un autre processus.

APC à distance planifié : un processus a détourné l’exécution du thread d’un autre processus. Ceci est utilisé par un attaquant pour activer une présence malveillante qui a été injectée dans un autre processus.

Injection DYLD : une variable d’environnement a été définie qui provoque l’injection d’une bibliothèque partagée dans un processus lancé. Les attaques peuvent modifier la liste de propriétés des applications telles que Safari ou remplacer les applications par des scripts bash qui entraînent le chargement automatique de leurs modules lorsqu'une application démarre.

LSASS Read : la mémoire appartenant au processus de l’autorité de sécurité locale Windows a été accédée d’une manière qui indique une tentative d’obtention des mots de passe des utilisateurs.

Zero Allocate : une page nulle a été allouée. La zone de mémoire est généralement réservée, mais dans certains cas, elle peut être allouée. Les attaquants peuvent l’utiliser pour mettre en place une élévation de privilèges en tirant parti d’un exploit connu de déréférencement null, généralement dans le noyau.

Type d’infraction par système d’exploitation

Le tableau suivant indique quel type de violation se rapporte à quel système d’exploitation.

Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.