Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Dell Endpoint Security Suite Enterpriseメモリー保護カテゴリーの定義

Summary: この記事では、メモリー保護カテゴリーの定義について説明します。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

注:

対象製品:

  • Dell Endpoint Security Suite Enterprise

対象オペレーティング システム:

  • Windows
  • Mac

注:カテゴリー メッセージに移動するには、次の手順を実行します。エンドポイント ->高度な脅威 ->悪用の試行 (脅威アクティビティ)

SLN306461_en_US__2ddpkm1130b
図1: (英語のみ)エンドポイントの詳細 高度な脅威

スタック ピボット - スレッドのスタックが別のスタックに置き換えられました。一般的に、コンピューターはスレッドに1つのスタックを割り当てます。攻撃者は、別のスタックを使用して、データ実行防止(DEP)がブロックできない方法で実行を制御します。

スタック保護 - スレッドのスタックのメモリ保護が変更され、実行権限が有効になりました。スタック メモリーを実行可能にすることはできません。したがって、これは通常、攻撃者が、データ実行防止(DEP)によりブロックされない方法で、スタック メモリーに格納されている悪意のあるコードを実行する準備をしていることを意味します。

コードの上書き - プロセスのメモリに存在するコードが、データ実行防止 (DEP) をバイパスする試みを示す手法を使用して変更されています。

RAMスクレイピング - プロセスが別のプロセスから有効な磁気ストライプ トラック データを読み取ろうとしています。通常、POSコンピューターに関連しています。

悪意のあるペイロード - エクスプロイトに関連する汎用シェルコードとペイロードが検出されました。

メモリのリモート割り当て - プロセスが別のプロセスでメモリを割り当てました。ほとんどの割り当ては、同じプロセス内で行われます。これは通常、コードまたはデータを別のプロセスに注入しようとする試みを示しています。これは、コンピューター上に存在する悪意のあるものを補強するための最初のステップである可能性があります。

メモリのリモートマッピング - プロセスがコードまたはデータを別のプロセスに導入しました。これは、別のプロセスでコードの実行を開始しようとしていることを示しており、悪意のある存在を強化している可能性があります。

Remote Write to Memory - プロセスが別のプロセスのメモリーを変更しました。これは通常、以前に割り当てられたメモリーにコードまたはデータを保存する試みですが(OutofProcessAllocationを参照)、攻撃者が悪意のある目的で実行を転用するために既存のメモリーを上書きしようとしている可能性があります。

Remote Write PE to Memory - プロセスが別のプロセスのメモリーを変更して、実行可能イメージを格納しました。一般的にこれは、攻撃者が最初にそのコードをディスクに書き込まずにコードを実行しようとしていることを示しています。

リモート上書きコード - プロセスが別のプロセスの実行可能メモリーを変更しました。通常の条件下では、実行可能メモリーは、特に別のプロセスによって変更されません。これは通常、別のプロセスで実行を転用しようとする試みを示しています。

メモリのリモート割り当て解除 - プロセスが別のプロセスのメモリから Windows 実行可能ファイルを削除しました。これは、実行を転用するために、実行可能イメージを変更されたコピーに置き換える意図を示している可能性があります。

リモート スレッド作成 - プロセスが別のプロセスにスレッドを作成しました。プロセスのスレッドは、同じプロセスによってのみ作成されます。攻撃者はこれを使用して、別のプロセスに注入された悪意のある存在をアクティブ化します。

Remote APC Scheduled - プロセスが別のプロセスのスレッドの実行を転用しました。これは、別のプロセスに注入された悪意のある存在をアクティブ化するために攻撃者によって使用されます。

DYLDインジェクション - 起動されたプロセスに共有ライブラリーをインジェクトする環境変数が設定されています。攻撃者は、Safariなどのアプリケーションのplistを変更したり、アプリケーションをbashスクリプトに置き換えたりして、アプリケーションの起動時にモジュールが自動的にロードされる可能性があります。

LSASS Read - Windows Local Security Authorityプロセスに属するメモリーが、ユーザーのパスワード取得試行を示す方法でアクセスされました。

Zero Allocate - ヌル ページが割り当てられています。メモリー領域は通常予約されますが、特定の状況では割り当て可能です。攻撃者はこれを悪用して、通常はカーネルで既知のnull De-referenceエクスプロイトを悪用して、権限のエスカレーションをセットアップできます。

オペレーティング システム別の違反タイプ

次の表は、どの違反タイプがどのオペレーティング システムに関連しているかを示しています。

コマンド オペレーティングシステム
スタック ピボット Windows、OS X
スタック保護 Windows、OS X
コードを上書き Windows
RAMスクレイピング Windows
悪意のあるペイロード Windows
メモリーのリモート割り当て Windows、OS X
メモリーのリモート マッピング Windows、OS X
メモリーへのリモート書き込み Windows、OS X
メモリーへのリモート書き込みPE Windows
リモート上書きコード Windows
メモリーのリモート マッピング解除 Windows
リモートでの脅威の作成 Windows、OS X
スケジュールされたリモートAPC Windows
DYLDインジェクション OS Xの
LSAAS読み取り Windows
ゼロ割り当て Windows、OS X

サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。

Additional Information

 

Videos

 

Affected Products

Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000124724
Article Type: How To
Last Modified: 07 máj 2024
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.