Article Number: 000124724
Dell Endpoint Security Suite Enterprisen muistisuojausluokkien määritelmät
Summary: Tässä artikkelissa on Memory Protection -luokkien määritelmät.
Article Content
Instructions
Huomautus:
- Toukokuussa 2022 Dell Endpoint Security Suite Enterprisen ylläpito on päättynyt. Dell ei enää päivitä tätä artikkelia. Lisätietoja on artikkelissa Dell Data Security -tuotteen elinkaari (tuen päättyminen / käytöstä poistuminen). Jos sinulla on kysyttävää vaihtoehtoisista artikkelista, ota yhteys myyntitiimiin tai lähetä sähköpostia osoitteeseen endpointsecurity@dell.com.
- Lisätietoja nykyisistä tuotteista on sivulla Endpoint Security.
Tuotteet, joita asia koskee:
- Dell Endpoint Security Suite Enterprise
Käyttöjärjestelmät, joita asia koskee:
- Windows
- Mac
Huomautus: Voit siirtyä luokkaviesteihin seuraavasti: Päätepisteet –>Kehittyneet uhat –>Hyväksikäyttöyritykset (uhkien toiminnot)
Kuva 1: (Englanninkielinen) Päätepisteen tiedot Kehittyneet uhat
Stack Pivot - Langan pino on korvattu toisella pinolla. Yleensä tietokone varaa yhden pinon säikeelle. Hyökkääjä käyttää eri pinoa suorituksen hallintaan tavalla, jota tietojen suorittamisen estäminen (DEP) ei estä.
Stack Protect – Säikepinon muistisuojausta on muutettu niin, että se sallii suorituksen. Pinomuistin ei pitäisi olla suoritettavaa, joten yleensä tämä tarkoittaa, että hyökkääjä valmistautuu suorittamaan haitallista koodia, joka on tallennettu pinon muistiin osana hyväksikäyttöä, minkä tietojen suorittamisen estäminen (DEP) estäisi muuten.
Korvaa koodi – Prosessin muistissa olevaa koodia on muokattu tekniikalla, joka saattaa viitata yritykseen ohittaa tietojen suorittamisen esto (DEP).
RAM-muistin kaavinta - Prosessi yrittää lukea kelvollisia magneettijuovan tietoja toisesta prosessista. Liittyy yleensä myyntipistetietokoneisiin (POS).
Haitallinen hyötykuorma – Yleinen komentotulkin koodin ja hyötykuorman tunnistus, joka liittyy hyväksikäyttöön, on havaittu.
Muistin etävaraus - Prosessi on varannut muistin toiseen prosessiin. Useimmat kohdistukset tapahtuvat samassa prosessissa. Tämä tarkoittaa yleensä yritystä lisätä koodia tai tietoja toiseen prosessiin, mikä voi olla ensimmäinen askel haitallisen läsnäolon vahvistamisessa tietokoneessa.
Muistin etäkartoitus – prosessi on lisännyt koodin tai tietoja toiseen prosessiin. Tämä voi olla merkki yrityksestä aloittaa koodin suorittaminen toisessa prosessissa ja vahvistaa haitallista läsnäoloa.
Etäkirjoitus muistiin - Prosessi on muokannut muistia toisessa prosessissa. Tällä yritetään tavallisesti tallentaa koodia tai tietoja aiemmin varattuun muistiin (katso OutOfProcessAllocation), mutta hyökkääjä saattaa yrittää korvata olemassa olevan muistin ohjatakseen suorituksen haitalliseen tarkoitukseen.
Remote Write PE to Memory - Prosessi on muokannut muistia toisessa prosessissa sisältämään suoritettavan kuvan. Yleensä tämä tarkoittaa, että hyökkääjä yrittää suorittaa koodia kirjoittamatta koodia ensin levylle.
Koodin korvaaminen etänä – Prosessi on muokannut suoritettavaa muistia toisessa prosessissa. Normaaleissa olosuhteissa suoritettavaa muistia ei muuteta, erityisesti toisella prosessilla. Tämä tarkoittaa yleensä yritystä ohjata suoritusta toisessa prosessissa.
Muistin etäkartoituksen poisto – Prosessi on poistanut suoritettavan Windows-tiedoston toisen prosessin muistista. Tämä saattaa viitata aikomukseen korvata suoritettava kuva muokatulla kopiolla suorituksen ohjaamiseksi muualle.
Säikeen etäluonti - Prosessi on luonut säikeen toisessa prosessissa. Prosessin säikeet luodaan vain samalla prosessilla. Hyökkääjät käyttävät tätä aktivoidakseen haitallisen läsnäolon, joka on lisätty toiseen prosessiin.
Etä-APC ajoitettu – Prosessi on ohjannut toisen prosessin säikeen suorittamisen. Hyökkääjä aktivoi tämän ominaisuuden avulla haitallisen läsnäolon, joka on lisätty toiseen prosessiin.
DYLD-injektio - On asetettu ympäristömuuttuja, joka aiheuttaa jaetun kirjaston injektoinnin käynnistettyyn prosessiin. Hyökkäykset voivat muokata ohjelmien luetteloa, kuten Safaria, tai korvata ohjelmia bash-skripteillä, jotka aiheuttavat niiden moduulien lataamisen automaattisesti, kun ohjelma käynnistyy.
LSASS Read – Windowsin paikallisen suojausviranomaisen prosessille kuuluvaa muistia on käytetty tavalla, joka viittaa käyttäjän salasanan hankkimisyritykseen.
Nollakohdistus – tyhjäsivu on varattu. Muistialue on yleensä varattu, mutta tietyissä olosuhteissa se voidaan varata. Hyökkäykset voivat käyttää tätä etuoikeuksien laajentamisen määrittämiseen hyödyntämällä tunnettua null de-reference -hyväksikäyttöä, joka on tyypillistä ytimessä.
Rikkomuksen tyyppi käyttöjärjestelmän mukaan
Seuraavassa taulukossa kerrotaan, mikä rikkomuksen tyyppi liittyy mihinkin käyttöjärjestelmään.
| Kirjoita | Käyttöjärjestelmä |
|---|---|
| Pinon kierto | Windows, OS X |
| Pinon suojaus | Windows, OS X |
| Korvauskoodi | Windows |
| RAM-muistin haalinta | Windows |
| Haitallinen tietosisältö | Windows |
| Muistin etävaraus | Windows, OS X |
| Muistin etäkartoitus | Windows, OS X |
| Etäkirjoitus muistiin | Windows, OS X |
| PE:n etäkirjoitus muistiin | Windows |
| Etäkorvauskoodi | Windows |
| Muistin etäpoisto | Windows |
| Uhkien etäluonti | Windows, OS X |
| Etä-APC ajoitettu | Windows |
| DYLD-lisäys | OS X |
| LSAAS Lue | Windows |
| Nollavaraus | Windows, OS X |
Jos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
TechDirectissä voit luoda teknisen tukipyynnön verkossa.
Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.
Additional Information
Videos
Article Properties
Affected Product
Dell Endpoint Security Suite Enterprise
Last Published Date
07 May 2024
Version
8
Article Type
How To