Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Dell Endpoint Security Suite Enterprise 메모리 보호 범주 정의

Summary: 이 문서에서는 메모리 보호 범주에 대한 정의를 제공합니다.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

참고:

영향을 받는 제품:

  • Dell Endpoint Security Suite Enterprise

영향을 받는 운영 체제:

  • Windows
  • Mac

참고: 범주 메시지로 이동하려면: 엔드포인트 ->고급 위협 ->악용 시도 (위협 활동)

SLN306461_en_US__2ddpkm1130b
그림 1: (영어로만 제공) 엔드포인트 세부 정보 지능형 위협

스택 피벗 - 스레드의 스택이 다른 스택으로 대체되었습니다. 일반적으로 컴퓨터는 스레드에 단일 스택을 할당합니다. 공격자는 다른 스택을 사용하여 DEP(Data Execution Prevention)가 차단하지 않는 방식으로 실행을 제어합니다.

스택 보호 - 스레드 스택의 메모리 보호가 실행 권한을 사용하도록 수정되었습니다. 스택 메모리는 실행할 수 없어야 하므로 일반적으로 공격자가 악용의 일부로 스택 메모리에 저장된 악성 코드를 실행할 준비를 하고 있음을 의미합니다. 그렇지 않으면 DEP(Data Execution Prevention)에서 차단할 수 있습니다.

코드 덮어쓰기 - 프로세스의 메모리에 있는 코드가 DEP(Data Execution Prevention)를 우회하려는 시도를 나타낼 수 있는 기술을 사용하여 수정되었습니다.

RAM 스크래핑 - 프로세스가 다른 프로세스에서 유효한 마그네틱 스트라이프 추적 데이터를 읽으려고 합니다. 일반적으로 POS(Point-of-Sale) 컴퓨터와 관련이 있습니다.

악성 페이로드 - 악용과 관련된 일반 셸코드 및 페이로드 탐지가 탐지되었습니다.

Remote Allocation of Memory - 프로세스가 다른 프로세스에 메모리를 할당했습니다. 대부분의 할당은 동일한 프로세스 내에서 발생합니다. 이는 일반적으로 다른 프로세스에 코드나 데이터를 주입하려는 시도를 나타내며, 이는 컴퓨터에서 악의적인 존재를 강화하는 첫 번째 단계가 될 수 있습니다.

메모리의 원격 매핑 - 프로세스에서 다른 프로세스에 코드 또는 데이터를 도입했습니다. 이는 다른 프로세스에서 코드 실행을 시작하려는 시도를 나타낼 수 있으며 악의적인 존재를 강화할 수 있습니다.

메모리에 원격 쓰기 - 프로세스에서 다른 프로세스의 메모리를 수정했습니다. 이는 일반적으로 이전에 할당된 메모리에 코드 또는 데이터를 저장하려고 시도하지만(OutOfProcessAllocation 참조), 공격자가 악의적인 목적으로 실행을 전환하기 위해 기존 메모리를 덮어쓰려고 시도할 수 있습니다.

메모리에 PE 원격 쓰기 - 프로세스에서 실행 가능한 이미지를 포함하도록 다른 프로세스의 메모리를 수정했습니다. 일반적으로 이는 공격자가 먼저 해당 코드를 디스크에 쓰지 않고 코드를 실행하려고 함을 나타냅니다.

원격 덮어쓰기 코드 - 프로세스에서 다른 프로세스의 실행 가능한 메모리를 수정했습니다. 정상적인 상황에서는 실행 가능한 메모리가 수정되지 않으며, 특히 다른 프로세스에 의해 수정되지 않습니다. 이는 일반적으로 다른 프로세스에서 실행을 전환하려는 시도를 나타냅니다.

메모리의 원격 매핑 해제 - 프로세스가 다른 프로세스의 메모리에서 Windows 실행 파일을 제거했습니다. 이는 실행을 전환하기 위해 실행 가능한 이미지를 수정된 복사본으로 대체하려는 의도를 나타낼 수 있습니다.

원격 스레드 만들기 - 프로세스가 다른 프로세스에서 스레드를 만들었습니다. 프로세스의 스레드는 동일한 프로세스에 의해서만 생성됩니다. 공격자는 이를 사용하여 다른 프로세스에 삽입된 악의적인 존재를 활성화합니다.

원격 APC 예약 됨 - 프로세스가 다른 프로세스의 스레드 실행을 전환했습니다. 공격자가 다른 프로세스에 삽입된 악의적인 존재를 활성화하는 데 사용됩니다.

DYLD 삽입 - 시작된 프로세스에 공유 라이브러리를 삽입하는 환경 변수가 설정되었습니다. 공격은 Safari와 같은 애플리케이션의 plist를 수정하거나 애플리케이션을 BASH 스크립트로 대체하여 애플리케이션이 시작될 때 해당 모듈이 자동으로 로드되도록 할 수 있습니다.

LSASS 읽기 - 사용자의 비밀번호를 얻으려는 시도를 나타내는 방식으로 Windows 로컬 보안 기관 프로세스에 속한 메모리에 액세스했습니다.

Zero Allocate - null 페이지가 할당되었습니다. 메모리 영역은 일반적으로 예약되어 있지만 특정 상황에서는 할당될 수 있습니다. 공격에서는 이를 사용하여 일반적으로 커널에서 알려진 null 역참조 악용을 활용하여 권한 상승을 설정할 수 있습니다.

운영 체제별 위반 유형

다음 표는 운영 체제와 관련된 위반 유형을 참조합니다.

다음을 운영 체제
스택 피벗 윈도우, OS X
스택 보호 윈도우, OS X
코드 덮어쓰기 Windows
RAM 스크래핑 Windows
악성 페이로드 Windows
메모리 원격 할당 윈도우, OS X
메모리 원격 매핑 윈도우, OS X
메모리에 원격으로 쓰기 윈도우, OS X
메모리에 원격으로 PE 쓰기 Windows
코드 원격으로 덮어쓰기 Windows
메모리 원격 매핑 해제 Windows
원격 위협 생성 윈도우, OS X
원격 APC 예약됨 Windows
DYLD 주입 OS X
LSAAS 읽기 Windows
제로 할당 윈도우, OS X

지원 부서에 문의하려면 Dell Data Security 국제 지원 전화번호를 참조하십시오.
온라인으로 기술 지원 요청을 생성하려면 TechDirect로 이동하십시오.
추가 정보 및 리소스를 보려면 Dell 보안 커뮤니티 포럼에 참여하십시오.

Additional Information

 

Videos

 

Affected Products

Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000124724
Article Type: How To
Last Modified: 07 May 2024
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.