Definizioni delle categorie di protezione della memoria di Dell Endpoint Security Suite Enterprise

Prodotti interessati:

• Dell Endpoint Security Suite Enterprise

Sistemi operativi interessati:

• Windows
• Mac

Figura 1. (solo in inglese) Dettagli endpoint Minacce avanzate

Stack Pivot : lo stack per un thread è stato sostituito con uno stack diverso. In genere, il computer alloca un singolo stack per un thread. Un utente malintenzionato utilizza uno stack diverso per controllare l'esecuzione in un modo che Data Execution Prevention (DEP) non può bloccare.

Protezione dello stack : la protezione della memoria dello stack di un thread è stata modificata per abilitare l'autorizzazione di esecuzione. La memoria dello stack non deve essere eseguibile, quindi in genere questo significa che un utente malintenzionato sta per eseguire un codice dannoso archiviato nella memoria dello stack come parte di un exploit, un tentativo che altrimenti verrebbe bloccato da Data Execution Prevention (DEP).

Sovrascrivi codice : il codice che risiede nella memoria di un processo è stato modificato utilizzando una tecnica che può indicare un tentativo di ignorare Protezione esecuzione programmi (Protezione esecuzione programmi).

RAM Scraping : un processo sta tentando di leggere i dati di tracciamento della banda magnetica validi da un altro processo. In genere correlato ai computer POS (Point-of-Sale).

Payload dannoso - È stato rilevato uno shellcode generico e il rilevamento di payload associato all'exploit.

Allocazione remota della memoria - Un processo ha allocato memoria in un altro processo. La maggior parte delle allocazioni avviene all'interno dello stesso processo. In genere, indica un tentativo di inserire codice o dati in un altro processo, il che potrebbe rappresentare un primo passo per il rafforzamento di una presenza dannosa su un computer.

Mapping remoto della memoria : un processo ha introdotto codice o dati in un altro processo. Ciò potrebbe indicare un tentativo di avviare l'esecuzione del codice in un altro processo e rafforzare la presenza di malevole.

Scrittura remota in memoria - Un processo ha modificato la memoria in un altro processo. In genere si tratta di un tentativo di archiviare codice o dati in una memoria precedentemente allocata (vedere OutOfProcessAllocation), ma è possibile che un utente malintenzionato stia tentando di sovrascrivere la memoria esistente al fine di destinare l'esecuzione a uno scopo dannoso.

Remote Write PE to Memory : un processo ha modificato la memoria in un altro processo per contenere un'immagine eseguibile. In genere, indica che un utente malintenzionato sta tentando di eseguire codice senza prima scriverlo su disco.

Codice di sovrascrittura remota : un processo ha modificato la memoria eseguibile di un altro processo. In condizioni normali, la memoria eseguibile non viene modificata, in particolare da un altro processo. In genere, indica un tentativo di modificare lo scopo dell'esecuzione in un altro processo.

Remote Unmapping of Memory : un processo ha rimosso un eseguibile di Windows dalla memoria di un altro processo. Potrebbe indicare l'intenzione di sostituire l'immagine dell'eseguibile con una copia modificata per modificare lo scopo dell'esecuzione.

Creazione remota di thread : un processo ha creato un thread in un altro processo. I thread di un processo vengono creati solo dal processo stesso. Gli utenti malintenzionati lo utilizzano per attivare una presenza malevola che è stata inserita in un altro processo.

APC remoto pianificato : un processo ha deviato l'esecuzione del thread di un altro processo. Viene utilizzato da un utente malintenzionato per attivare una presenza dannosa che è stata inserita in un altro processo.

DYLD Injection - È stata impostata una variabile di ambiente che causa l'inserimento di una libreria condivisa in un processo avviato. Gli attacchi possono modificare l'elenco di proprietà (plist) di applicazioni come Safari o sostituire le applicazioni con script bash che causano il caricamento automatico dei relativi moduli all'avvio di un'applicazione.

Lettura LSASS - È stato effettuato l'accesso alla memoria appartenente al processo dell'autorità di sicurezza locale di Windows in un modo che indica un tentativo di ottenere le password degli utenti.

Zero Allocate - È stata allocata una pagina Null. L'area di memoria è in genere riservata, ma in alcune circostanze può essere allocata. Gli attacchi possono usarlo per impostare l'escalation dei privilegi sfruttando alcuni exploit noti di dereferenziazione null, tipicamente nel kernel.

Tipo di violazione per sistema operativo

Nella tabella seguente viene indicato quale tipo di violazione si riferisce a un determinato sistema operativo.

Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.