Dell Endpoint Security Suite Enterpriseメモリー保護カテゴリーの定義
Summary: この記事では、メモリー保護カテゴリーの定義について説明します。
Instructions
- 2022年5月をもって、Dell Endpoint Security Suite Enterpriseはメンテナンス終了となりました。この記事は今後、Dellによってアップデートされることはありません。詳細については、「Dell Data Securityの製品ライフサイクル(サポート終了/サポート終了)ポリシー」を参照してください。その他の記事に関する質問がある場合は、担当のセールス チームに連絡するか、またはendpointsecurity@dell.comにお問い合わせください。
- 現在の製品に関する追加情報については、エンドポイント セキュリティページを参照してください。
対象製品:
- Dell Endpoint Security Suite Enterprise
対象オペレーティング システム:
- Windows
- Mac
図1: (英語のみ)エンドポイントの詳細 高度な脅威
スタック ピボット - スレッドのスタックが別のスタックに置き換えられました。一般的に、コンピューターはスレッドに1つのスタックを割り当てます。攻撃者は、別のスタックを使用して、データ実行防止(DEP)がブロックできない方法で実行を制御します。
スタック保護 - スレッドのスタックのメモリ保護が変更され、実行権限が有効になりました。スタック メモリーを実行可能にすることはできません。したがって、これは通常、攻撃者が、データ実行防止(DEP)によりブロックされない方法で、スタック メモリーに格納されている悪意のあるコードを実行する準備をしていることを意味します。
コードの上書き - プロセスのメモリに存在するコードが、データ実行防止 (DEP) をバイパスする試みを示す手法を使用して変更されています。
RAMスクレイピング - プロセスが別のプロセスから有効な磁気ストライプ トラック データを読み取ろうとしています。通常、POSコンピューターに関連しています。
悪意のあるペイロード - エクスプロイトに関連する汎用シェルコードとペイロードが検出されました。
メモリのリモート割り当て - プロセスが別のプロセスでメモリを割り当てました。ほとんどの割り当ては、同じプロセス内で行われます。これは通常、コードまたはデータを別のプロセスに注入しようとする試みを示しています。これは、コンピューター上に存在する悪意のあるものを補強するための最初のステップである可能性があります。
メモリのリモートマッピング - プロセスがコードまたはデータを別のプロセスに導入しました。これは、別のプロセスでコードの実行を開始しようとしていることを示しており、悪意のある存在を強化している可能性があります。
Remote Write to Memory - プロセスが別のプロセスのメモリーを変更しました。これは通常、以前に割り当てられたメモリーにコードまたはデータを保存する試みですが(OutofProcessAllocationを参照)、攻撃者が悪意のある目的で実行を転用するために既存のメモリーを上書きしようとしている可能性があります。
Remote Write PE to Memory - プロセスが別のプロセスのメモリーを変更して、実行可能イメージを格納しました。一般的にこれは、攻撃者が最初にそのコードをディスクに書き込まずにコードを実行しようとしていることを示しています。
リモート上書きコード - プロセスが別のプロセスの実行可能メモリーを変更しました。通常の条件下では、実行可能メモリーは、特に別のプロセスによって変更されません。これは通常、別のプロセスで実行を転用しようとする試みを示しています。
メモリのリモート割り当て解除 - プロセスが別のプロセスのメモリから Windows 実行可能ファイルを削除しました。これは、実行を転用するために、実行可能イメージを変更されたコピーに置き換える意図を示している可能性があります。
リモート スレッド作成 - プロセスが別のプロセスにスレッドを作成しました。プロセスのスレッドは、同じプロセスによってのみ作成されます。攻撃者はこれを使用して、別のプロセスに注入された悪意のある存在をアクティブ化します。
Remote APC Scheduled - プロセスが別のプロセスのスレッドの実行を転用しました。これは、別のプロセスに注入された悪意のある存在をアクティブ化するために攻撃者によって使用されます。
DYLDインジェクション - 起動されたプロセスに共有ライブラリーをインジェクトする環境変数が設定されています。攻撃者は、Safariなどのアプリケーションのplistを変更したり、アプリケーションをbashスクリプトに置き換えたりして、アプリケーションの起動時にモジュールが自動的にロードされる可能性があります。
LSASS Read - Windows Local Security Authorityプロセスに属するメモリーが、ユーザーのパスワード取得試行を示す方法でアクセスされました。
Zero Allocate - ヌル ページが割り当てられています。メモリー領域は通常予約されますが、特定の状況では割り当て可能です。攻撃者はこれを悪用して、通常はカーネルで既知のnull De-referenceエクスプロイトを悪用して、権限のエスカレーションをセットアップできます。
オペレーティング システム別の違反タイプ
次の表は、どの違反タイプがどのオペレーティング システムに関連しているかを示しています。
| コマンド | オペレーティングシステム |
|---|---|
| スタック ピボット | Windows、OS X |
| スタック保護 | Windows、OS X |
| コードを上書き | Windows |
| RAMスクレイピング | Windows |
| 悪意のあるペイロード | Windows |
| メモリーのリモート割り当て | Windows、OS X |
| メモリーのリモート マッピング | Windows、OS X |
| メモリーへのリモート書き込み | Windows、OS X |
| メモリーへのリモート書き込みPE | Windows |
| リモート上書きコード | Windows |
| メモリーのリモート マッピング解除 | Windows |
| リモートでの脅威の作成 | Windows、OS X |
| スケジュールされたリモートAPC | Windows |
| DYLDインジェクション | OS Xの |
| LSAAS読み取り | Windows |
| ゼロ割り当て | Windows、OS X |
サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。