Definiciones de categorías de protección de memoria de Dell Endpoint Security Suite Enterprise
Summary: En este artículo, se proporcionan definiciones para las categorías de Protección de memoria.
Instructions
- Desde mayo de 2022, Dell Endpoint Security Suite Enterprise alcanzó el final de su período de mantenimiento. Dell ya no actualiza este artículo. Para obtener más información, consulte Política de ciclo de vida útil (Fin de soporte o Final del ciclo de vida) de productos para Dell Data Security. Si tiene preguntas sobre artículos alternativos, comuníquese con el equipo de ventas o al correo endpointsecurity@dell.com.
- Consulte Endpoint Security para obtener información adicional acerca de los productos actuales.
Productos afectados:
- Dell Endpoint Security Suite Enterprise
Sistemas operativos afectados:
- Windows
- Mac
Figura 1: (Solo en inglés) Amenazas avanzadas de detalles de terminales
Pila dinámica : la pila de un subproceso se reemplazó por una pila diferente. Por lo general, la computadora asigna una sola pila para un subproceso. Un atacante utilizaría una pila diferente para controlar la ejecución de una manera que la prevención de ejecución de datos (DEP, por sus siglas en inglés) no bloquee.
Stack Protection : la protección de memoria de la pila de un subproceso se modificó para habilitar el permiso de ejecución. La memoria de pila no debe ser ejecutable; por lo general, esto significa que un atacante se prepara para ejecutar código malicioso almacenado en la memoria de pila como parte de una vulnerabilidad, un intento que la prevención de ejecución de datos (DEP) bloquearía de otro modo.
Sobrescribir código : el código que reside en la memoria de un proceso se modificó mediante una técnica que puede indicar un intento de omitir la prevención de ejecución de datos (DEP).
Raspado de RAM: un proceso está tratando de leer datos válidos de seguimiento de banda magnética de otro proceso. Por lo general, se relaciona con computadoras de punto de venta (POS, por sus siglas en inglés).
Carga útil maliciosa : se detectó un código de shell genérico y la detección de carga útil asociada con la explotación.
Asignación remota de memoria : un proceso ha asignado memoria a otro proceso. La mayoría de las asignaciones se producen dentro del mismo proceso. Por lo general, esto indica un intento de insertar código o datos en otro proceso, que puede ser un primer paso para reforzar una presencia maliciosa en una computadora.
Remote Mapping of Memory : un proceso ha introducido código o datos en otro proceso. Esto puede indicar un intento de comenzar a ejecutar código en otro proceso y refuerza una presencia maliciosa.
Escritura remota en la memoria : un proceso modificó la memoria en otro proceso. Por lo general, se trata de un intento de almacenar código o datos en una memoria previamente asignada (consulte OutofProcessAllocation), pero es posible que un atacante esté tratando de sobrescribir la memoria existente para desviar la ejecución con fines maliciosos.
Escritura remota de PE en la memoria : un proceso modificó la memoria en otro proceso para que contenga una imagen ejecutable. Por lo general, esto indica que un atacante está intentando ejecutar código sin escribir primero ese código en el disco.
Código de sobrescritura remota : un proceso modificó la memoria ejecutable en otro proceso. En condiciones normales, la memoria ejecutable no se modifica, en especial, a través de otro proceso. Por lo general, esto indica un intento de desviar la ejecución en otro proceso.
Desasignación remota de memoria : un proceso eliminó un archivo ejecutable de Windows de la memoria de otro proceso. Esto puede indicar la intención de reemplazar la imagen ejecutable por una copia modificada para desviar la ejecución.
Creación de subprocesos remotos : un proceso ha creado un subproceso en otro proceso. Los subprocesos solo son creados por el proceso al que pertenecen. Los atacantes utilizan esto para activar una presencia maliciosa que se inyectó en otro proceso.
APC remoto programado : un proceso ha desviado la ejecución del subproceso de otro proceso. Un atacante utiliza esto para activar una presencia maliciosa que se inyectó en otro proceso.
Inyección de DYLD : se estableció una variable de entorno que hace que se inyecte una biblioteca compartida en un proceso iniciado. Los ataques pueden modificar la lista de aplicaciones, como Safari, o reemplazar aplicaciones con scripts bash, que hacen que sus módulos se carguen de forma automática cuando se inicia una aplicación.
Lectura de LSASS : se ha accedido a la memoria que pertenece al proceso de autoridad de seguridad local de Windows de una manera que indica un intento de obtener las contraseñas de los usuarios.
Zero Allocation : se asignó una página nula. Por lo general, la región de memoria se reserva, pero en ciertas circunstancias, se puede asignar. Los atacantes pueden usar esto para configurar la escalación de privilegios mediante el aprovechamiento de alguna vulnerabilidad de anulación de referencia nula conocida, por lo general, en el kernel.
Tipo de infracción por sistema operativo
En la siguiente tabla, se hace referencia a qué tipo de infracción se relaciona con qué sistema operativo.
| Tipo | Sistema operativo |
|---|---|
| Pivote de pila | Windows, OS X |
| Stack Protect | Windows, OS X |
| Overwrite Code | Windows |
| Desechar RAM | Windows |
| Carga útil maliciosa | Windows |
| Asignación remota de memoria | Windows, OS X |
| Asignación remota de memoria | Windows, OS X |
| Escritura remota en la memoria | Windows, OS X |
| Escritura remota de PE en la memoria | Windows |
| Sobrescribir código de forma remota | Windows |
| Quitar asignación remota de memoria | Windows |
| Creación remota de amenazas | Windows, OS X |
| APC remoto programado | Windows |
| Inyección de DYLD | OS X |
| Lectura de LSAAS | Windows |
| Asignación de ceros | Windows, OS X |
Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.