Definições de categoria do Dell Endpoint Security Suite Enterprise Memory Protection
Resumen: Este artigo fornece definições para categorias de proteção de memória.
Instrucciones
- Em maio de 2022, o Dell Endpoint Security Suite Enterprise deixou de receber manutenção. Este artigo não é mais atualizado pela Dell. Para obter mais informações, consulte Política de ciclo de vida do produto (fim do suporte/fim da vida útil) para o Dell Data Security. Se você tiver alguma dúvida sobre artigos alternativos, entre em contato com sua equipe de vendas ou envie um e-mail para endpointsecurity@dell.com.
- Consulte Segurança de endpoints para obter mais informações sobre os produtos atuais.
Produtos afetados:
- Dell Endpoint Security Suite Enterprise
Sistemas operacionais afetados:
- Windows
- Mac
Figura 1: (Somente em inglês) Detalhe do endpoint Ameaças avançadas
Stack Pivot - A pilha de um thread foi substituída por uma pilha diferente. Geralmente, o computador aloca uma única pilha para um thread. Um invasor pode usar uma pilha diferente para controlar a execução de forma que a Prevenção de Execução de Dados (DEP) não bloqueie.
Stack Protect - A proteção de memória da pilha de um thread foi modificada para habilitar a permissão de execução. A memória da pilha não deve ser executável, portanto, isso normalmente significa que um invasor está se preparando para executar código mal-intencionado armazenado na memória da pilha, como parte de uma exploração. Essa tentativa, de outra forma, seria bloqueada pela Prevenção de Execução de Dados (DEP).
Substituir código - O código que reside na memória de um processo foi modificado usando uma técnica que pode indicar uma tentativa de ignorar a Prevenção de Execução de Dados (DEP).
Raspagem de RAM – Um processo está tentando ler dados válidos de rastreamento de tarja magnética de outro processo. Normalmente, relacionados a computadores de ponto de venda (POS).
Payload mal-intencionado - Foi detectada uma detecção genérica de shellcode e payload associada à exploração.
Alocação remota de memória - Um processo alocou memória em outro processo. A maioria das alocações ocorre no mesmo processo. Isso geralmente indica uma tentativa de injetar códigos ou dados em outro processo, o que pode ser o primeiro passo para fortalecer uma presença mal-intencionada no computador.
Mapeamento remoto de memória - Um processo introduziu código ou dados em outro processo. Isso pode indicar uma tentativa de começar a executar código em outro processo e reforça uma presença mal-intencionada.
Gravação remota na memória - Um processo modificou a memória em outro processo. Geralmente, essa é uma tentativa de armazenar códigos ou dados na memória alocada anteriormente (consulte Alocação fora do processo), mas é possível que um invasor esteja tentando substituir a memória existente para desviar a execução para uma finalidade mal-intencionada.
Remote Write PE to Memory - Um processo modificou a memória em outro processo para conter uma imagem executável. Geralmente, isso indica que um invasor está tentando executar códigos sem, primeiro, gravá-los no disco.
Código de sobregravação remota - Um processo modificou a memória executável em outro processo. Em condições normais, a memória executável não é modificada, sobretudo por outro processo. Essa é geralmente uma tentativa de desviar a execução em outro processo.
Desmapeamento remoto da memória - Um processo removeu um executável do Windows da memória de outro processo. Isso pode indicar uma intenção de substituir a imagem executável por uma cópia modificada para desviar a execução.
Criação de thread remoto - Um processo criou um thread em outro processo. Os threads de um processo são criados somente por esse mesmo processo. Os invasores usam isso para ativar uma presença mal-intencionada que foi injetada em outro processo.
APC remoto agendado - Um processo desviou a execução do thread de outro processo. Isso é usado por um invasor para ativar uma presença mal-intencionada que foi injetada em outro processo.
DYLD Injection - uma variável de ambiente foi definida que faz com que uma biblioteca compartilhada seja injetada em um processo iniciado. Os ataques podem modificar o plist de aplicativos, como o Safari, ou substituir aplicativos por scripts bash que fazem com que seus módulos sejam carregados automaticamente quando um aplicativo é iniciado.
Leitura LSASS: a memória pertencente ao processo da autoridade de segurança local do Windows foi acessada de uma maneira que indica uma tentativa de obter as senhas dos usuários.
Alocação zero - Uma página nula foi alocada. A região da memória é normalmente reservada. No entanto, em determinadas circunstâncias, ela pode ser alocada. Os ataques podem usar isso para configurar o escalonamento de privilégios aproveitando alguma exploração conhecida de desatribuição nula, normalmente no kernel.
Tipo de violação por sistema operacional
A tabela a seguir faz referência a qual Tipo de violação está relacionado a qual sistema operacional.
| Digite | Sistema operacional |
|---|---|
| Stack pivot | Windows, OS X |
| Proteção de pilha | Windows, OS X |
| Substituir código | Windows |
| RAM Scraping | Windows |
| Payload mal-intencionada | Windows |
| Alocação remota de memória | Windows, OS X |
| Mapeamento remoto da memória | Windows, OS X |
| Gravação remota na memória | Windows, OS X |
| Gravação remota de PE na memória | Windows |
| Substituir código remoto | Windows |
| Cancelamento do mapeamento remoto de memória | Windows |
| Criação remota de ameaças | Windows, OS X |
| APC remoto agendado | Windows |
| Injeção DYLD | OS X |
| LSAAS lido | Windows |
| Alocação zero | Windows, OS X |
Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.