Dell Endpoint Security Suite Enterprise Memory Protection – Kategoriedefinitionen

Betroffene Produkte:

• Dell Endpoint Security Suite Enterprise

Betroffene Betriebssysteme:

• Windows
• Mac

Abbildung 1: (Nur Englisch) Endpunktdetails Advanced Threats

Stapel-Pivot : Der Stapel für einen Thread wurde durch einen anderen Stapel ersetzt. Im Allgemeinen weist der Computer einem Thread einen einzigen Stapel zu. Ein Angreifer würde einen anderen Stapel verwenden, um die Ausführung so zu steuern, dass Data Execution Prevention (DEP) sie nicht blockiert.

Stack Protect : Der Speicherschutz des Stacks eines Threads wurde geändert, um die Ausführungsberechtigung zu aktivieren. Stapelarbeitsspeicher sollte nicht ausführbar sein. Dies bedeutet in der Regel, dass ein Angreifer sich darauf vorbereitet, als Teil eines Exploits bösartigen Code auszuführen, der im Stapelarbeitsspeicher gespeichert ist, ein Versuch, den Data Execution Prevention (DEP) andernfalls blockieren würde.

Code überschreiben : Code, der sich im Arbeitsspeicher eines Prozesses befindet, wurde mithilfe einer Technik geändert, die auf einen Versuch hindeuten kann, Data Execution Prevention (DEP) zu umgehen.

RAM Scraping – Ein Prozess versucht, gültige Magnetstreifen-Track-Daten von einem anderen Prozess zu lesen. Dies betrifft in der Regel Point-of-Sale-Computer (POS).

Bösartige Payload : Es wurde eine generische Shellcode- und Payload-Erkennung erkannt, die mit einem Exploit verknüpft ist.

Remote-Zuweisung des Arbeitsspeichers : Ein Prozess hat in einem anderen Prozess Speicher zugewiesen. Die meisten Zuweisungen erfolgen innerhalb desselben Prozesses. Dies weist in der Regel auf einen Versuch hin, Code oder Daten in einen anderen Prozess zu injizieren. Dies kann ein erster Schritt zur Verstärkung einer bösartigen Präsenz auf einem Computer sein.

Remote-Zuordnung des Arbeitsspeichers : Ein Prozess hat Code oder Daten in einen anderen Prozess eingefügt. Dies kann auf einen Versuch hindeuten, mit der Ausführung von Code in einem anderen Prozess zu beginnen, und eine bösartige Präsenz verstärken.

Remote Write to Memory – Ein Prozess hat in einem anderen Prozess den Arbeitsspeicher geändert. Dies ist in der Regel ein Versuch, Code oder Daten im zuvor zugewiesenen Arbeitsspeicher zu speichern (siehe OutofProcessAllocation). Es ist jedoch auch möglich, dass ein Angreifer versucht, vorhandenen Arbeitsspeicher zu überschreiben, um die Ausführung für einen bösartigen Zweck umzuleiten.

Remote Write PE to Memory : Ein Prozess hat den Arbeitsspeicher in einem anderen Prozess geändert, um ein ausführbares Image zu enthalten. Im Allgemeinen weist dies darauf hin, dass ein Angreifer versucht, Code auszuführen, ohne diesen Code zuerst auf die Festplatte zu schreiben.

Remote-Überschreibungscode – Ein Prozess hat in einem anderen Prozess ausführbaren Arbeitsspeicher geändert. Unter normalen Bedingungen wird ausführbarer Arbeitsspeicher nicht geändert, insbesondere nicht durch einen anderen Prozess. Dies weist in der Regel auf einen Versuch hin, die Ausführung in einen anderen Prozess umzulenken.

Remote Unmap des Arbeitsspeichers : Ein Prozess hat eine ausführbare Windows-Datei aus dem Arbeitsspeicher eines anderen Prozesses entfernt. Dies kann auf die Absicht hindeuten, das ausführbare Image durch eine geänderte Kopie zu ersetzen, um die Ausführung umzuleiten.

Remote-Thread-Erstellung : Ein Prozess hat einen Thread in einem anderen Prozess erstellt. Die Threads eines Prozesses werden nur von dem betreffenden Prozess selbst erstellt. Angreifer verwenden dies, um eine bösartige Präsenz zu aktivieren, die in einen anderen Prozess injiziert wurde.

Remote APC geplant : Ein Prozess hat die Ausführung des Threads eines anderen Prozesses umgeleitet. Dies wird von einem Angreifer verwendet, um eine bösartige Präsenz zu aktivieren, die in einen anderen Prozess injiziert wurde.

DYLD-Injektion – Es wurde eine Umgebungsvariable festgelegt, die dazu führt, dass eine gemeinsam genutzte Bibliothek in einen gestarteten Prozess injiziert wird. Angreifer können die plist von Anwendungen wie Safari ändern oder Anwendungen durch Bash-Skripte ersetzen, die dazu führen, dass ihre Module automatisch geladen werden, wenn eine Anwendung gestartet wird.

LSASS-Lesevorgang – Auf den Speicher, der zum Windows Local Security Authority-Prozess gehört, wurde auf eine Weise zugegriffen, die auf einen Versuch hindeutet, die Kennwörter der Nutzer abzurufen.

Nullzuweisung : Es wurde eine Nullseite zugewiesen. Der Arbeitsspeicherbereich ist in der Regel reserviert, kann aber unter bestimmten Umständen zugewiesen werden. Angreifer können dies verwenden, um eine Berechtigungseskalation einzurichten, indem sie einen bekannten Exploit zur Null-Dereferenzierung ausnutzen, in der Regel im Kernel.

Art des Verstoßes nach Betriebssystem

Die folgende Tabelle gibt an, welcher Verstoßtyp sich auf welches Betriebssystem bezieht.

Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.