Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Definições de categoria do Dell Endpoint Security Suite Enterprise Memory Protection

Summary: Este artigo fornece definições para categorias de proteção de memória.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Nota:

Produtos afetados:

  • Dell Endpoint Security Suite Enterprise

Sistemas operacionais afetados:

  • Windows
  • Mac

Nota: Para acessar as mensagens de categoria: Endpoints ->Ameaças avançadas ->Tentativas de exploração (atividades de ameaças)

SLN306461_en_US__2ddpkm1130b
Figura 1: (Somente em inglês) Detalhe do endpoint Ameaças avançadas

Stack Pivot - A pilha de um thread foi substituída por uma pilha diferente. Geralmente, o computador aloca uma única pilha para um thread. Um invasor pode usar uma pilha diferente para controlar a execução de forma que a Prevenção de Execução de Dados (DEP) não bloqueie.

Stack Protect - A proteção de memória da pilha de um thread foi modificada para habilitar a permissão de execução. A memória da pilha não deve ser executável, portanto, isso normalmente significa que um invasor está se preparando para executar código mal-intencionado armazenado na memória da pilha, como parte de uma exploração. Essa tentativa, de outra forma, seria bloqueada pela Prevenção de Execução de Dados (DEP).

Substituir código - O código que reside na memória de um processo foi modificado usando uma técnica que pode indicar uma tentativa de ignorar a Prevenção de Execução de Dados (DEP).

Raspagem de RAM – Um processo está tentando ler dados válidos de rastreamento de tarja magnética de outro processo. Normalmente, relacionados a computadores de ponto de venda (POS).

Payload mal-intencionado - Foi detectada uma detecção genérica de shellcode e payload associada à exploração.

Alocação remota de memória - Um processo alocou memória em outro processo. A maioria das alocações ocorre no mesmo processo. Isso geralmente indica uma tentativa de injetar códigos ou dados em outro processo, o que pode ser o primeiro passo para fortalecer uma presença mal-intencionada no computador.

Mapeamento remoto de memória - Um processo introduziu código ou dados em outro processo. Isso pode indicar uma tentativa de começar a executar código em outro processo e reforça uma presença mal-intencionada.

Gravação remota na memória - Um processo modificou a memória em outro processo. Geralmente, essa é uma tentativa de armazenar códigos ou dados na memória alocada anteriormente (consulte Alocação fora do processo), mas é possível que um invasor esteja tentando substituir a memória existente para desviar a execução para uma finalidade mal-intencionada.

Remote Write PE to Memory - Um processo modificou a memória em outro processo para conter uma imagem executável. Geralmente, isso indica que um invasor está tentando executar códigos sem, primeiro, gravá-los no disco.

Código de sobregravação remota - Um processo modificou a memória executável em outro processo. Em condições normais, a memória executável não é modificada, sobretudo por outro processo. Essa é geralmente uma tentativa de desviar a execução em outro processo.

Desmapeamento remoto da memória - Um processo removeu um executável do Windows da memória de outro processo. Isso pode indicar uma intenção de substituir a imagem executável por uma cópia modificada para desviar a execução.

Criação de thread remoto - Um processo criou um thread em outro processo. Os threads de um processo são criados somente por esse mesmo processo. Os invasores usam isso para ativar uma presença mal-intencionada que foi injetada em outro processo.

APC remoto agendado - Um processo desviou a execução do thread de outro processo. Isso é usado por um invasor para ativar uma presença mal-intencionada que foi injetada em outro processo.

DYLD Injection - uma variável de ambiente foi definida que faz com que uma biblioteca compartilhada seja injetada em um processo iniciado. Os ataques podem modificar o plist de aplicativos, como o Safari, ou substituir aplicativos por scripts bash que fazem com que seus módulos sejam carregados automaticamente quando um aplicativo é iniciado.

Leitura LSASS: a memória pertencente ao processo da autoridade de segurança local do Windows foi acessada de uma maneira que indica uma tentativa de obter as senhas dos usuários.

Alocação zero - Uma página nula foi alocada. A região da memória é normalmente reservada. No entanto, em determinadas circunstâncias, ela pode ser alocada. Os ataques podem usar isso para configurar o escalonamento de privilégios aproveitando alguma exploração conhecida de desatribuição nula, normalmente no kernel.

Tipo de violação por sistema operacional

A tabela a seguir faz referência a qual Tipo de violação está relacionado a qual sistema operacional.

Digite Sistema operacional
Stack pivot Windows, OS X
Proteção de pilha Windows, OS X
Substituir código Windows
RAM Scraping Windows
Payload mal-intencionada Windows
Alocação remota de memória Windows, OS X
Mapeamento remoto da memória Windows, OS X
Gravação remota na memória Windows, OS X
Gravação remota de PE na memória Windows
Substituir código remoto Windows
Cancelamento do mapeamento remoto de memória Windows
Criação remota de ameaças Windows, OS X
APC remoto agendado Windows
Injeção DYLD OS X
LSAAS lido Windows
Alocação zero Windows, OS X

Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.

Additional Information

 

Videos

 

Affected Products

Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000124724
Article Type: How To
Last Modified: 07 May 2024
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.