圖 1:(僅英文)端點詳細資料 進階威脅
堆疊透視 - 線程的堆疊已替換為其他堆疊。一般來說,電腦會為執行緒分配單一堆疊。攻擊者會使用不同的堆疊,以預防資料執行 (DEP) 無法封鎖的方式控制執行。
堆疊保護 - 修改執行緒堆疊的記憶體保護,以啟用執行權限。堆疊記憶體不應為可執行,因此這通常表示攻擊者準備執行儲存在堆疊記憶體中的惡意程式碼,預防資料執行 (DEP) 會封鎖這樣的嘗試。
覆寫程式 碼 - 程式記憶體中的程式碼已遭到可能代表嘗試略過預防資料執行 (DEP) 的技術修改。
RAM 消除 - 一個程序正在嘗試從另一個程序讀取有效的磁性等量分配通路資料。通常與銷售點電腦 (POS) 有關。
惡意負載 - 偵測到與惡意利用相關的一般 Shellcode 和負載偵測。
遠端配置記憶體 - 程序已在另一個程序中配置記憶體。大部分的分配都在同一程序中進行。這通常表示嘗試將程式碼或資料注入另一個程序,這可能是在電腦內強化惡意軟體的第一個步驟。
遠端對應 記憶體 - 一個程序已將程式碼或資料導入另一個程序。這可能表示嘗試在另一個程序中開始執行程式碼,並強化其中的惡意軟體。
遠端寫入至記憶體 - 程序已在另一個程序中修改了記憶體。這通常是嘗試將程式碼或資料儲存在先前分配的記憶體中 (請參閱 OutOfProcessAllocation),但也可能是攻擊者正在嘗試覆寫現有的記憶體,以轉移執行惡意軟體的目的。
遠端寫入 PE 至記憶體 - 程序已在另一個程序中修改記憶體,以包含可執行檔映像。通常這表示攻擊者在並未將程式碼寫入磁碟的情況下,正在嘗試執行程式碼。
遠端覆寫程式碼 - 程序已在另一個程序中修改了可執行檔記憶體。在正常情況下無法修改可執行檔記憶體,特別是透過另一個程序。這通常表示正在嘗試在另一個程序中轉移執行。
遠端取消對應 記憶體 - 一個程序已從另一個程序的記憶體中移除一個 Windows 可執行檔。這可能表示將可執行檔映像替換為修改後複本,以轉移執行的意圖。
遠端建立執行緒 - 一個程序已在另一個程序中建立執行緒。程序的執行緒僅會由相同的程序建立。攻擊者會使用此功能,啟用注入另一個程序的惡意軟體。
遠端 APC 排程 - 程序已轉移執行其他程序的執行緒。攻擊者會使用此功能來啟用注入另一個程序的惡意軟體。
DYLD 注入 - 已設置環境變數,導致共用庫注入到啟動的進程中。攻擊可能會修改 Safari 等應用程式的 plist,或將應用程式替換為 bash 指令檔,導致在應用程式啟動時自動載入其模組。
LSASS 讀取 - Windows Local Security Authority 程序的記憶體遭到存取,表示有人正在嘗試取得使用者的密碼。
零分配 - 已分配 null 頁。記憶體區域通常會保留,但在某些情況下可進行分配。攻擊可利用一些通常位於核心內的已知 null 反參照漏洞,來設定權限提升。
依作業系統而定的違規類型
下表引用了與哪個操作系統相關的違規類型。
類型 | 作業系統 |
---|---|
堆疊轉動 | Windows、OS X |
堆疊保護 | Windows、OS X |
覆寫程式碼 | Windows |
RAM 消除 | Windows |
惡意裝載 | Windows |
遠端配置記憶體 | Windows、OS X |
遠端對應記憶體 | Windows、OS X |
遠端寫入至記憶體 | Windows、OS X |
遠端寫入 PE 至記憶體 | Windows |
遠端覆寫程式碼 | Windows |
遠端取消對應記憶體 | Windows |
遠端威脅建立 | Windows、OS X |
遠端排程 APC | Windows |
DYLD 注入 | OS X |
LSAAS 讀取 | Windows |
零分配 | Windows、OS X |
如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇。