Definisjoner i kategorien Dell Endpoint Security Suite Enterprise-minnebeskyttelse
Summary: Denne artikkelen inneholder definisjoner for minnebeskyttelseskategorier.
Instructions
- Fra mai 2022 ble ikke Dell Endpoint Security Suite Enterprise lenger vedlikeholdt. Denne artikkelen oppdateres ikke lenger av Dell. Hvis du vil ha mer informasjon, kan du se Retningslinjer for produktlevetid (slutt på kundestøtte / slutten av levetiden) for Dell Data Security. Hvis du har spørsmål om alternative artikler, kan du kontakte salgsteamet ditt eller endpointsecurity@dell.com.
- Se Endpoint Security hvis du vil ha mer informasjon om aktuelle produkter.
Berørte produkter:
- Dell Endpoint Security Suite Enterprise
Berørte operativsystemer:
- Windows
- Mac
Figur 1: (Bare på engelsk) Avanserte trusler om endepunktsdetaljer
Stakkpivot – Stakken for en tråd er erstattet med en annen stabel. Vanligvis tildeler datamaskinen en enkelt stabel for en tråd. En angriper vil bruke en annen stabel til å kontrollere kjøringen på en måte som Data Execution Prevention (DEP) ikke blokkerer.
Stack Protect – Minnebeskyttelsen for stabelen i en tråd er endret for å aktivere utførelsestillatelse. Stakkminne skal ikke være kjørbart, så vanligvis betyr dette at en angriper forbereder seg på å kjøre ondsinnet kode som er lagret i stakkminnet som en del av en utnyttelse, et forsøk som Data Execution Prevention (DEP) ellers ville blokkert.
Overskriv kode – kode som befinner seg i prosessminnet, er endret ved hjelp av en teknikk som kan indikere et forsøk på å omgå Data Execution Prevention (DEP).
RAM-skraping - En prosess prøver å lese gyldige magnetstripespordata fra en annen prosess. Vanligvis relatert til salgsstedsdatamaskiner (POS).
Skadelig nyttelast – det er oppdaget en generisk skallkode og nyttelastdeteksjon som er knyttet til utnyttelse.
Ekstern tildeling av minne - En prosess har tildelt minne i en annen prosess. De fleste tildelingene skjer innenfor samme prosess. Dette indikerer vanligvis et forsøk på å injisere kode eller data i en annen prosess, noe som kan være et første skritt i å forsterke en ondsinnet tilstedeværelse på en datamaskin.
Ekstern tilordning av minne - En prosess har introdusert kode eller data i en annen prosess. Dette kan indikere et forsøk på å begynne å kjøre kode i en annen prosess og forsterker en ondsinnet tilstedeværelse.
Ekstern skriving til minne - En prosess har endret minnet i en annen prosess. Dette er vanligvis et forsøk på å lagre kode eller data i tidligere tildelt minne (se OutOfProcessAllocation), men det er mulig at en angriper prøver å overskrive eksisterende minne for å avlede kjøring for et skadelig formål.
Ekstern skriving PE til minne - En prosess har endret minnet i en annen prosess for å inneholde et kjørbart bilde. Vanligvis indikerer dette at en angriper prøver å kjøre kode uten først å skrive koden til disken.
Ekstern overskrivingskode – en prosess har endret kjørbart minne i en annen prosess. Under normale forhold endres ikke kjørbart minne, spesielt ikke av en annen prosess. Dette indikerer vanligvis et forsøk på å avlede utførelse i en annen prosess.
Ekstern tilordning av minne – En prosess har fjernet en kjørbar Windows-fil fra minnet til en annen prosess. Dette kan tyde på en intensjon om å erstatte det kjørbare bildet med en endret kopi for å avlede utførelsen.
Remote Thread Creation - En prosess har opprettet en tråd i en annen prosess. En prosess-tråder opprettes bare av den samme prosessen. Angripere bruker dette til å aktivere en ondsinnet tilstedeværelse som har blitt injisert i en annen prosess.
Ekstern APC planlagt – en prosess har omdirigert utførelsen av tråden til en annen prosess. Dette brukes av en angriper til å aktivere en ondsinnet tilstedeværelse som har blitt injisert i en annen prosess.
DYLD-injeksjon – det er angitt en miljøvariabel som fører til at et delt bibliotek injiseres i en startet prosess. Angrep kan endre listen over applikasjoner som Safari eller erstatte applikasjoner med bash-skript som gjør at modulene deres lastes automatisk når et program starter.
LSASS Read - Minne som tilhører Windows Local Security Authority-prosessen, er åpnet på en måte som indikerer et forsøk på å hente brukernes passord.
Null allokering – En nullside er tildelt. Minneområdet er vanligvis reservert, men under visse omstendigheter kan det tildeles. Angrep kan bruke dette til å sette opp eskalering av privilegier ved å dra nytte av noen kjente null-referanseutnyttelser, vanligvis i kjernen.
Type brudd på operativsystemet
Tabellen nedenfor refererer til hvilken bruddtype som er relatert til hvilket operativsystem.
| Skriv inn | Operativsystem |
|---|---|
| Stack Pivot | Windows, OS X |
| Stack Protect | Windows, OS X |
| Overskriv kode | Windows |
| RAM-skraping | Windows |
| Skadelig nyttelast | Windows |
| Ekstern tildeling av minne | Windows, OS X |
| Ekstern tilordning av minne | Windows, OS X |
| Ekstern skriving til minne | Windows, OS X |
| Ekstern PE til minne | Windows |
| Ekstern overskrivingskode | Windows |
| Ekstern tilknytning til minnet | Windows |
| Ekstern oppretting av trusler | Windows, OS X |
| Ekstern APC planlagt | Windows |
| DYLD-injeksjon | OS X |
| LSAAAS Les | Windows |
| Null tildeling | Windows, OS X |
Når du skal kontakte kundestøtte, kan du se Dell Data Security internasjonale telefonnumre for støtte..
Gå til TechDirect for å generere en forespørsel om teknisk støtte på Internett.
Hvis du vil ha mer innsikt og flere ressurser, kan du bli med i fellesskapsforumet for Dell Security.