Definice kategorií ochrany paměti sady Dell Endpoint Security Suite Enterprise
Summary: Tento článek obsahuje definice kategorií ochrany paměti.
Instructions
- V květnu 2022 dosáhl nástroj Dell Endpoint Security Suite Enterprise ukončení údržby. Tento článek již není společností Dell aktualizován. Více informací naleznete v článku Zásady životního cyklu produktu (konec podpory/životnosti) nástroje Dell Data Security. Máte-li jakékoli dotazy týkající se alternativních článků, obraťte se na prodejní tým nebo na adresu endpointsecurity@dell.com.
- Další informace o aktuálních produktech naleznete v článku Zabezpečení koncového bodu.
Dotčené produkty:
- Dell Endpoint Security Suite Enterprise
Dotčené operační systémy:
- Windows
- Mac
Obrázek 1: (Pouze v angličtině) Pokročilé hrozby v detailu koncového bodu
Pivot zásobníku – zásobník pro vlákno byl nahrazen jiným zásobníkem. Obecně počítač přiděluje na jedno vlákno jeden stoh. Útočník může použít ke kontrole spuštění jiný stoh takovým způsobem, že jej funkce zabránění spuštění dat (DEP) nedokáže zablokovat.
Ochrana zásobníku – Ochrana paměti zásobníku vlákna byla upravena tak, aby umožňovala oprávnění ke spuštění. Paměť stohu by neměla být spustitelná, takže to obvykle znamená, že útočník se v rámci útoku připravuje na spuštění škodlivého kódu uloženého v paměti stohu, což by jinak zablokovala funkce zabránění spuštění dat (DEP).
Přepsat kód – Kód umístěný v paměti procesu byl upraven pomocí techniky, která může signalizovat pokus o obejití funkce Zabránění spuštění dat (DEP).
RAM Scraping – Proces se pokouší přečíst platná data stopy magnetického proužku z jiného procesu. To obvykle souvisí s počítači na prodejním místě (POS).
Škodlivá datová část – byl zjištěn obecný shellcode a detekce datové části, která je spojena se zneužitím.
Vzdálené přidělování paměti – Proces přidělil paměť v jiném procesu. K většině přidělení dochází v rámci stejného procesu. To zpravidla značí pokus o vložení kódu nebo dat do jiného procesu, což může představovat první krok k odstranění přítomnosti škodlivého činitele v počítači.
Vzdálené mapování paměti – proces zavedl kód nebo data do jiného procesu. To může znamenat pokus o spuštění kódu v jiném procesu a posílení škodlivé přítomnosti.
Vzdálený zápis do paměti – proces změnil paměť v jiném procesu. Obvykle se jedná o pokus o uložení kódu nebo dat do dříve přidělené paměti (viz OutOfProcessAllocation), je však možné, že se útočník pokouší přepsat stávající paměť, aby mohl odklonit její spuštění se škodlivým záměrem.
Vzdálený zápis PE do paměti – Proces upravil paměť v jiném procesu tak, aby obsahovala spustitelnou bitovou kopii. Obecně to znamená, že se útočník pokouší spustit kód bez jeho dřívějšího zápisu na disk.
Kód vzdáleného přepsání – Proces změnil spustitelnou paměť v jiném procesu. Za normálních podmínek k úpravě spustitelné paměti nedojde, zejména ze strany jiného procesu. To obvykle značí pokus o odklonění spuštění v jiném procesu.
Vzdálené nenamapování paměti – Proces odebral spustitelný soubor systému Windows z paměti jiného procesu. To může značit snahu o náhradu spustitelné bitové kopie pomocí upravené bitové kopie za účelem odklonění spuštění.
Vzdálené vytvoření vlákna – proces vytvořil vlákno v jiném procesu. Vlákna procesu se vytváří pouze stejným procesem. Útočníci to používají k aktivaci škodlivé přítomnosti, která byla vložena do jiného procesu.
Vzdálené naplánováno APC – Proces přesměroval provádění vlákna jiného procesu. Útočník toho využije k aktivaci škodlivého stavu, který byl vložen do jiného procesu.
DYLD Injection – byla nastavena proměnná prostředí, která způsobí vložení sdílené knihovny do spuštěného procesu. Útoky mohou upravit seznam vlastností aplikací, jako je Safari, nebo nahradit aplikace pomocí skriptů bash, které způsobí automatické načtení jejich modulů při spuštění aplikace.
Čtení služby LSASS – k paměti patřící procesu místní autority zabezpečení systému Windows bylo přistupováno způsobem, který značí pokus o získání hesel uživatelů.
Přidělení nuly – byla přidělena nulová stránka. Oblast paměti je obvykle vyhrazena, ale za určitých okolností ji lze přidělit. Útoky toho mohou využít k nastavení eskalace oprávnění tím, že využijí některé známé zneužití nulové dereference, obvykle v jádře.
Typ porušení podle operačního systému
Následující tabulka uvádí, který typ porušení se vztahuje ke kterému operačnímu systému.
| Zadejte příkaz | Operační systém |
|---|---|
| Stack Pivot | Windows, OS X |
| Stack Protect | Windows, OS X |
| Overwrite Code | Windows |
| Získávání dat z paměti RAM | Windows |
| Malicious Payload | Windows |
| Remote Allocation of Memory | Windows, OS X |
| Remote Mapping of Memory | Windows, OS X |
| Remote Write to Memory | Windows, OS X |
| Remote Write PE to Memory | Windows |
| Remote Overwrite Code | Windows |
| Remote Unmap of Memory | Windows |
| Vzdálené vytváření hrozeb | Windows, OS X |
| Remote APC Scheduled | Windows |
| Injektáž DYLD | OS X |
| Čtení LSAAS | Windows |
| Zero Allocate | Windows, OS X |
Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.