Article Number: 000124724
Визначення категорій захисту корпоративної пам'яті Dell Endpoint Security Suite
Summary: У цій статті наведено визначення категорій захисту пам'яті.
Article Content
Instructions
Примітка:
- Станом на травень 2022 року Dell Endpoint Security Suite Enterprise завершив технічне обслуговування. Ця стаття більше не оновлюється компанією Dell. Для отримання додаткової інформації зверніться до Політики життєвого циклу продукту (кінець підтримки / закінчення терміну служби) для Dell Data Security. Якщо у вас виникли запитання щодо альтернативних статей, зверніться до свого відділу продажів або зв'яжіться з endpointsecurity@dell.com.
- Довідник Endpoint Security для отримання додаткової інформації про поточні продукти.
Продукти, на які впливають:
- Dell Endpoint Security Suite для підприємств
Операційні системи, яких це стосується:
- Вікна
- Комп'ютер Mac
Примітка: Щоб перейти до повідомлень категорії: Кінцеві точки ->Розширені загрози ->Спроби експлойтів (Threats Activities)
Малюнок 1: (Лише англійською мовою) Детальна інформація про кінцеві точки Розширені загрози
Stack Pivot – стек для потоку замінено іншим стеком. Як правило, комп'ютер виділяє один стек для потоку. Зловмисник використовує інший стек для керування виконанням таким чином, щоб Data Execution Prevention (DEP) не блокував.
Stack Protect – захист пам'яті стека потоку було змінено, щоб увімкнути дозвіл на виконання. Стекова пам'ять не повинна бути виконуваною, тому зазвичай це означає, що зловмисник готується запустити шкідливий код, який зберігається в пам'яті стека як частина експлойта, спробу, яку в іншому випадку заблокувала б система запобігання виконанню даних (DEP).
Код перезапису - код, що знаходиться в пам'яті процесу, був змінений за допомогою методу, який може вказувати на спробу обійти запобігання виконанню даних (DEP).
Скрейпінг оперативної пам'яті - процес намагається зчитати дійсні дані доріжки магнітної смуги з іншого процесу. Зазвичай пов'язані з комп'ютерами для торгових точок (POS).
Шкідливе корисне навантаження – виявлено загальний shellcode і виявлення корисного навантаження, пов'язане з експлуатацією.
Віддалене виділення пам'яті - Процес виділив пам'ять в іншому процесі. Більшість виділень відбувається в рамках одного і того ж процесу. Зазвичай це вказує на спробу впровадити код або дані в інший процес, що може бути першим кроком у посиленні зловмисної присутності на комп'ютері.
Віддалене відображення пам'яті - Процес ввів код або дані в інший процес. Це може вказувати на спробу запуску коду в іншому процесі та посилювати присутність зловмисників.
Віддалений запис в пам'ять - процес змінив пам'ять в іншому процесі. Зазвичай це спроба зберегти код або дані в раніше виділеній пам'яті (див. OutOfProcessAllocation), але можливо, що зловмисник намагається перезаписати існуючу пам'ять, щоб перенаправити виконання для зловмисної мети.
Віддалений запис PE в пам'ять - Процес змінив пам'ять в іншому процесі, щоб він містив виконуваний образ. Як правило, це вказує на те, що зловмисник намагається запустити код без попереднього запису цього коду на диск.
Код віддаленого перезапису - процес змінив виконувану пам'ять в іншому процесі. У звичайних умовах виконувана пам'ять не модифікується, особливо іншим процесом. Зазвичай це вказує на спробу перенаправити виконання в інший процес.
Віддалене розблокування карти пам'яті - процес видалив виконуваний файл Windows з пам'яті іншого процесу. Це може вказувати на намір замінити виконуваний образ зміненою копією для відволікання виконання.
Remote Thread Creation – процес створив потік в іншому процесі. Потоки процесу створюються лише цим самим процесом. Зловмисники використовують це, щоб активувати шкідливу присутність, яка була впроваджена в інший процес.
Remote APC Schedule (Запланований віддалений APC) — процес перенаправив виконання потоку іншого процесу. Це використовується зловмисником для активації шкідливої присутності, яка була впроваджена в інший процес.
DYLD Injection - Встановлено змінну середовища, яка спричиняє впровадження спільної бібліотеки у запущений процес. Атаки можуть змінювати список програм, таких як Safari, або замінювати програми сценаріями bash, які спричиняють автоматичне завантаження їхніх модулів під час запуску програми.
LSASS Read – доступ до пам'яті, що належить процесу Центру локальної безпеки Windows, був отриманий у спосіб, що вказує на спробу отримати паролі користувачів.
Zero Allocate - Виділено нульову сторінку. Область пам'яті, як правило, зарезервована, але за певних обставин вона може бути виділена. Атаки можуть використовувати це для налаштування підвищення привілеїв, використовуючи деякі відомі експлойти з нульовими розіменуваннями, як правило, в ядрі.
Тип порушення за операційною системою
У наведеній нижче таблиці вказано, який тип порушення пов'язаний з якою операційною системою.
| Тип | Операційна система |
|---|---|
| Стек Pivot | Windows, OS X |
| Захист стека | Windows, OS X |
| Перезаписати код | Вікна |
| Скрейпінг оперативної пам'яті | Вікна |
| Шкідливе корисне навантаження | Вікна |
| Віддалений розподіл пам'яті | Windows, OS X |
| Віддалене відображення пам'яті | Windows, OS X |
| Віддалений запис в пам'ять | Windows, OS X |
| Віддалений запис PE в пам'ять | Вікна |
| Віддалений перезапис коду | Вікна |
| Віддалене розблокування карти пам'яті | Вікна |
| Віддалене створення загроз | Windows, OS X |
| Віддалений APC за розкладом | Вікна |
| Ін'єкція DYLD | OS X |
| LSAAS Читати | Вікна |
| Нульовий розподіл | Windows, OS X |
Щоб зв'язатися зі службою підтримки, зверніться за номерами телефонів міжнародної служби підтримки Dell Data Security.
Перейдіть до TechDirect , щоб згенерувати запит на технічну підтримку онлайн.
Щоб отримати додаткову інформацію та ресурси, приєднуйтесь до форуму спільноти Dell Security Community.
Additional Information
Article Properties
Affected Product
Dell Endpoint Security Suite Enterprise
Last Published Date
07 May 2024
Version
8
Article Type
How To