Şekil 1: (Yalnızca İngilizce) Uç Nokta Ayrıntısı Gelişmiş Tehditler
Yığın Özeti - Bir iş parçacığının yığını farklı bir yığınla değiştirildi. Bilgisayar genellikle bir iş parçacığı için tek bir yığın ayırır. Saldırganlar ise yürütmeyi Veri Yürütme Engellemesi (DEP) özelliğinin engellemeyeceği şekilde kontrol etmek amacıyla farklı bir yığın kullanır.
Yığın Koruması - Bir iş parçacığının yığınının bellek koruması, yürütme iznini etkinleştirmek için değiştirildi. Yığın belleği yürütülebilir olmamalıdır. Dolayısıyla bu durum genellikle, saldırganın bir güvenlik açığından yararlanma işleminin parçası olarak yığın belleğinde depolanan kötü amaçlı bir kodu çalıştırmaya hazırlandığı anlamına gelir. Aksi halde bu girişim, Veri Yürütme Engellemesi (DEP) özelliği tarafından engellenmez.
Kodun Üzerine Yaz - Bir işlemin belleğinde bulunan kod, Veri Yürütme Engellemesi'ni (DEP) atlama girişimini gösterebilecek bir teknik kullanılarak değiştirildi.
RAM Scraping - Bir işlem, başka bir işlemden geçerli manyetik şerit izi verilerini okumaya çalışıyor. Genellikle satış noktası bilgisayarları (POS) ile ilgilidir.
Kötü Amaçlı Yük - Bu açıktan yararlanmayla ilişkili genel bir kabuk kodu ve yük algılaması algılandı.
Belleğin Uzaktan Ayrılması - Bir işlem, başka bir işlemde bellek ayırdı. Çoğu ayırma aynı işlem içinde gerçekleşir. Bu durum genellikle başka bir işleme kod veya veri ekleme girişimine işaret eder. Bu girişim, bilgisayarda kötü amaçlı bir kodun varlığını güçlendirmenin ilk adımı olabilir.
Belleğin Uzaktan Eşlenmesi - Bir işlem, başka bir işleme kod veya veri ekledi. Bu, başka bir işlemde kod çalıştırmaya başlama girişimini gösterebilir ve kötü amaçlı bir varlığı güçlendirebilir.
Belleğe Uzaktan Yazma - Bir işlem, başka bir işlemde belleği değiştirmiştir. Bu genellikle, önceden ayrılmış bellekte kod veya veri depolamaya yönelik bir girişimdir (bkz. OutOfProcessAllocation); ancak bir saldırgan, kötü niyetli bir amaç doğrultusunda yürütmeyi saptırmak üzere mevcut belleğin üzerine yazmaya çalışıyor olabilir.
PE'yi Belleğe Uzaktan Yazma - Bir işlem, yürütülebilir bir görüntü içermek için başka bir işlemdeki belleği değiştirdi. Bu genellikle, saldırganın bir kodu diske yazmadan önce çalıştırmaya çalıştığına işaret eder.
Uzaktan Üzerine Kod Yazma - Bir işlem, başka bir işlemde yürütülebilir belleği değiştirdi. Normal koşullarda yürütülebilir bellek değiştirilmez (özellikle de başka bir işlem tarafından). Bu genellikle, başka bir işlemdeki yürütmeyi saptırma girişimine işaret eder.
Belleğin Uzaktan Eşlemesini Kaldırma - Bir işlem, bir Windows yürütülebilir dosyasını başka bir işlemin belleğinden kaldırdı. Bu durum, yürütülebilir görüntüyü yürütmeyi saptırmak amacıyla üzerinde değişiklik yapılmış bir kopyayla değiştirme niyetine işaret edebilir.
Uzaktan İş Parçacığı Oluşturma - Bir işlem, başka bir işlemde bir iş parçacığı oluşturmuştur. Bir işlemin iş parçacıkları yalnızca söz konusu işlem tarafından oluşturulur. Saldırganlar bunu, başka bir işleme enjekte edilen kötü amaçlı bir varlığı etkinleştirmek için kullanır.
Zamanlanmış Uzaktan APC - Bir işlem, başka bir işlemin iş parçacığının yürütülmesini yönlendirdi. Bu, bir saldırgan tarafından başka bir işleme eklenmiş kötü amaçlı bir varlığı etkinleştirmek için kullanılır.
DYLD Eklenmesi - Başlatılan bir işleme paylaşılan kitaplığın eklenmesine neden olan bir ortam değişkeni ayarlandı. Saldırganlar, Safari gibi uygulamaların plist doyasını değiştirebilir veya uygulamaları, uygulama başlatıldığında modüllerinin otomatik olarak yüklenmesine neden olan bash komut dosyalarıyla değiştirebilir.
LSASS Okuma - Windows Yerel Güvenlik Yetkilisi işlemine ait belleğe, kullanıcıların parolalarını ele geçirme girişimini gösterecek şekilde erişildi.
Sıfır Ayırma - Boş bir sayfa ayrıldı. Bellek bölgesi genellikle ayrılmıştır ancak belirli durumlarda bu bölge tahsis edilebilir. Saldırılar bunu, genellikle çekirdekte bulunan bilinen bazı null referans kaldırma açıklarından yararlanarak ayrıcalık yükseltmeyi ayarlamak için kullanabilir.
İşletim Sistemine Göre İhlal Türü
Aşağıdaki tabloda hangi İhlal Türünün hangi işletim sistemiyle ilişkili olduğu ifade edilir.
Şunu yazın: | İşletim Sistemi |
---|---|
Yığın Özeti | Windows, OS X |
Yığın Koruması | Windows, OS X |
Üzerine Yazma Kodu | Windows |
RAM Kazıma | Windows |
Kötü Amaçlı Yük | Windows |
Belleğin Uzaktan Tahsisi | Windows, OS X |
Belleğin Uzaktan Eşlemesi | Windows, OS X |
Belleğe Uzaktan Yazma | Windows, OS X |
PE'yi Belleğe Uzaktan Yazma | Windows |
Uzaktan Üzerine Yazma Kodu | Windows |
Belleğin Uzaktan Eşlemesinin Kaldırılması | Windows |
Uzaktan Tehdit Oluşturma | Windows, OS X |
Uzaktan Zamanlanmış APC | Windows |
YLD Ekleme | OS X |
LSAAS Okuma | Windows |
Sıfır Tahsis | Windows, OS X |
Destek ile iletişime geçmek için Dell Data Security Uluslararası Destek Telefon Numaraları başlıklı makaleye başvurun.
Çevrimiçi olarak teknik destek talebi oluşturmak için TechDirect adresine gidin.
Daha fazla faydalı bilgi ve kaynak için Dell Security Topluluk Forumu'na katılın.