Article Number: 000124724
Definicje kategorii ochrony pamięci rozwiązania Dell Endpoint Security Suite Enterprise
Summary: Ten artykuł zawiera definicje kategorii ochrony pamięci.
Article Content
Instructions
Uwaga:
- Od maja 2022 r. oprogramowanie Dell Endpoint Security Suite Enterprise osiągnęło koniec konserwacji. Ten artykuł nie jest już aktualizowany przez firmę Dell. Aby uzyskać więcej informacji, zobacz artykuł Zasady dotyczące cyklu życia produktu (koniec wsparcia technicznego / koniec przydatności do użycia) dla programu Dell Data Security. Jeśli masz pytania dotyczące innych artykułów, skontaktuj się z działem sprzedaży lub napisz wiadomość na adres endpointsecurity@dell.com.
- Aby uzyskać dodatkowe informacje na temat obecnych produktów, zapoznaj się z artykułem Endpoint Security.
Dotyczy produktów:
- Dell Endpoint Security Suite Enterprise
Dotyczy systemów operacyjnych:
- Windows
- Mac
Uwaga: Aby przejść do kategorii wiadomości: Punkty końcowe —>zaawansowane zagrożenia —>próby wykorzystania luk (działania zagrożeń)
Rysunek 1. (Tylko w języku angielskim) Szczegółowe informacje o punktach końcowych Zaawansowane zagrożenia
Stos przestawny — stos wątku został zastąpiony innym stosem. Ogólnie komputer przydziela jeden stos dla wątku. Osoba atakująca użyje innego stosu do kontrolowania wykonania w taki sposób, którego zapobieganie wykonywaniu danych nie blokuje.
Stack Protect — ochrona pamięci stosu wątku została zmodyfikowana w celu włączenia uprawnień do wykonywania. Pamięć stosu nie powinna być wykonywalna, dlatego zazwyczaj oznacza to, że osoba atakująca przygotowuje się do uruchomienia złośliwego kodu przechowywanego w pamięci stosu w ramach programu wykorzystującego luki. W przeciwnym razie zapobieganie wykonywaniu danych zablokowałoby tę próbę.
Zastąp kod — kod znajdujący się w pamięci procesu został zmodyfikowany przy użyciu techniki, która może wskazywać na próbę obejścia funkcji zapobiegania wykonywaniu danych (DEP).
Skrobanie pamięci RAM — proces próbuje odczytać prawidłowe dane ścieżki paska magnetycznego z innego procesu. Zazwyczaj dotyczy komputerów w punktach sprzedaży (POS).
Złośliwy ładunek — wykryto ogólny kod powłoki i wykrywanie ładunku związane z exploitem.
Zdalna alokacja pamięci — proces przydzielił pamięć innemu procesowi. Większość alokacji odbywa się w ramach tego samego procesu. Zazwyczaj oznacza to próbę wprowadzenia kodu lub danych do innego procesu, co może być pierwszym krokiem wzmacniania złośliwej obecności na komputerze.
Zdalne mapowanie pamięci — proces wprowadził kod lub dane do innego procesu. Może to wskazywać na próbę uruchomienia kodu w innym procesie i wzmacnia złośliwą obecność.
Zdalny zapis do pamięci — proces zmodyfikował pamięć w innym procesie. Jest to zazwyczaj próba przechowywania kodu lub danych we wcześniej przydzielonej pamięci (patrz OutofProcessAllocation), ale możliwe jest, że osoba atakująca próbuje nadpisać istniejącą pamięć w celu przekierowania wykonania w złośliwym celu.
Zdalny zapis PE do pamięci — proces zmodyfikował pamięć w innym procesie, aby zawierała obraz wykonywalny. Ogólnie oznacza to, że osoba atakująca próbuje uruchomić kod bez uprzedniego zapisania tego kodu na dysku.
Zdalne nadpisywanie kodu — proces zmodyfikował pamięć wykonywalną w innym procesie. W normalnych warunkach pamięć wykonywalna nie jest modyfikowana, zwłaszcza przez inny proces. Zazwyczaj oznacza to próbę przekierowania wykonania w innym procesie.
Zdalne usuwanie mapowania pamięci — proces usunął plik wykonywalny systemu Windows z pamięci innego procesu. Może to oznaczać zamiar zastąpienia obrazu wykonywalnego zmodyfikowaną kopią w celu przekierowania wykonania.
Zdalne tworzenie wątku — proces utworzył wątek w innym procesie. Wątki procesu są tworzone tylko przez ten sam proces. Osoby atakujące używają tego do aktywowania złośliwej obecności, która została wstrzyknięta do innego procesu.
Zaplanowane zdalnie APC — proces przekierował wykonywanie wątku innego procesu. Jest to wykorzystywane przez osobę atakującą do aktywacji złośliwej obecności, która została wstrzyknięta do innego procesu.
Iniekcja DYLD — ustawiono zmienną środowiskową, która powoduje wstrzyknięcie biblioteki udostępnionej do uruchomionego procesu. Ataki mogą zmodyfikować listę aplikacji, takich jak Safari, lub zastąpić aplikacje skryptami bash, które powodują automatyczne ładowanie modułów podczas uruchamiania aplikacji.
Odczyt LSASS — dostęp do pamięci należącej do procesu urzędu zabezpieczeń lokalnych systemu Windows został uzyskany w sposób, który wskazuje próbę uzyskania haseł użytkowników.
Przydzielanie zera — przydzielono stronę o wartości null. Region pamięci jest zazwyczaj zarezerwowany, ale w pewnych okolicznościach można go przydzielić. Ataki mogą wykorzystać to do skonfigurowania eskalacji uprawnień przy użyciu znanego exploita typu null de-referencing, zwykle w jądrze.
Typ naruszenia według systemu operacyjnego
Poniższa tabela zawiera informacje o typie naruszenia powiązanym z danym systemem operacyjnym.
| Wpisz | System operacyjny |
|---|---|
| Obracanie stosu | Windows, OS X |
| Ochrona stosu | Windows, OS X |
| Nadpisywanie kodu | Windows |
| RAM Scraping | Windows |
| Szkodliwe obciążenie | Windows |
| Zdalna alokacja pamięci | Windows, OS X |
| Zdalne mapowanie pamięci | Windows, OS X |
| Zdalny zapis do pamięci | Windows, OS X |
| Zdalny zapis PE do pamięci | Windows |
| Kod nadpisania zdalnego | Windows |
| Zdalne usuwanie mapowania pamięci | Windows |
| Zdalne tworzenie zagrożeń | Windows, OS X |
| Zaplanowano zdalne APC | Windows |
| Wprowadzanie DYLD | OS X |
| LSAAS odczyt | Windows |
| Alokacja zero | Windows, OS X |
Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.
Additional Information
Videos
Article Properties
Affected Product
Dell Endpoint Security Suite Enterprise
Last Published Date
07 May 2024
Version
8
Article Type
How To