Passer au contenu principal
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Créez et accédez à une liste de vos produits

Définitions des catégories de protection de la mémoire pour Dell Endpoint Security Suite Enterprise

Résumé: Cet article fournit des définitions pour les catégories de protection de la mémoire.

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Instructions

Remarque :

Produits concernés :

  • Dell Endpoint Security Suite Enterprise

Systèmes d’exploitation concernés :

  • Windows
  • Mac

Remarque : Pour accéder aux messages de catégorie : Points de terminaison ->Menaces avancées ->Tentatives d’exploitation (activités liées aux menaces)

SLN306461_en_US__2ddpkm1130b
Figure 1 : (En anglais uniquement) Endpoint Detail Advanced Threats

Stack Pivot : la pile d’un thread a été remplacée par une autre pile. En règle générale, l'ordinateur alloue une pile unique à un thread. Un attaquant utiliserait une pile différente pour contrôler l'exécution de sorte que la prévention d'exécution des données (DEP) ne la bloque pas.

Protection de la pile : la protection de la mémoire de la pile d’un thread a été modifiée pour activer l’autorisation d’exécution. La mémoire de la pile ne doit pas être exécutable. Cela signifie généralement qu'un attaquant se prépare à exécuter un code malveillant stocké dans la mémoire de la pile dans le cadre d'une attaque, une tentative que la prévention d'exécution des données (DEP) bloquerait autrement.

Overwrite Code : le code résidant dans la mémoire d’un processus a été modifié à l’aide d’une technique qui peut indiquer une tentative de contournement de la prévention d’exécution des données (DEP).

Raclage de la RAM : un processus tente de lire des données de piste de bande magnétique valides provenant d’un autre processus. Phénomène généralement lié aux ordinateurs de point de vente.

Charge utile malveillante : une détection générique de shellcode et de charge utile associée à une exploitation a été détectée.

Allocation de mémoire à distance - Un processus a alloué de la mémoire dans un autre processus. La plupart des allocations se produisent au sein du même processus. Cela indique généralement une tentative d'injection de code ou de données dans un autre processus, ce qui peut être une première étape pour renforcer une présence malveillante sur un ordinateur.

Mappage à distance de la mémoire : un processus a introduit du code ou des données dans un autre processus. Cela peut indiquer une tentative d’exécution du code dans un autre processus et renforcer une présence malveillante.

Écriture à distance dans la mémoire : un processus a modifié la mémoire dans un autre processus. Il s'agit généralement d'une tentative de stockage du code ou des données dans la mémoire précédemment allouée (consultez OutOfProcessAllocation), mais il est possible qu'un attaquant tente d'écraser la mémoire existante afin de détourner l'exécution à des fins malveillantes.

Remote Write PE to Memory : un processus a modifié la mémoire dans un autre processus pour contenir une image exécutable. En règle générale, cela indique qu'un attaquant tente d'exécuter du code sans l'écrire au préalable sur le disque.

Code d’écrasement à distance : un processus a modifié la mémoire exécutable dans un autre processus. Dans des conditions normales, la mémoire exécutable n'est pas modifiée, encore moins par un autre processus. Cela indique généralement une tentative de détournement de l'exécution dans un autre processus.

Démappage à distance de la mémoire : un processus a supprimé un fichier exécutable Windows de la mémoire d’un autre processus. Cela peut indiquer une intention de remplacement de l'image d'exécutable par une copie modifiée pour détourner l'exécution.

Création de thread à distance : un processus a créé un thread dans un autre processus. Les threads d'un processus sont uniquement créés par ce même processus. Les attaquants l’utilisent pour activer une présence malveillante qui a été injectée dans un autre processus.

APC à distance planifié : un processus a détourné l’exécution du thread d’un autre processus. Ceci est utilisé par un attaquant pour activer une présence malveillante qui a été injectée dans un autre processus.

Injection DYLD : une variable d’environnement a été définie qui provoque l’injection d’une bibliothèque partagée dans un processus lancé. Les attaques peuvent modifier la liste de propriétés des applications telles que Safari ou remplacer les applications par des scripts bash qui entraînent le chargement automatique de leurs modules lorsqu'une application démarre.

LSASS Read : la mémoire appartenant au processus de l’autorité de sécurité locale Windows a été accédée d’une manière qui indique une tentative d’obtention des mots de passe des utilisateurs.

Zero Allocate : une page nulle a été allouée. La zone de mémoire est généralement réservée, mais dans certains cas, elle peut être allouée. Les attaquants peuvent l’utiliser pour mettre en place une élévation de privilèges en tirant parti d’un exploit connu de déréférencement null, généralement dans le noyau.

Type d’infraction par système d’exploitation

Le tableau suivant indique quel type de violation se rapporte à quel système d’exploitation.

Saisissez Système d’exploitation
Falsification de la pile Windows, OS X
Protection de la pile Windows, OS X
Écrasement du code Windows
Grattage de mémoire Windows
Charge utile malveillante Windows
Allocation de mémoire à distance Windows, OS X
Mappage à distance de la mémoire Windows, OS X
Écriture à distance dans la mémoire Windows, OS X
Écriture de PE à distance dans la mémoire Windows
Écrasement à distance du code Windows
Démappage à distance de la mémoire Windows
Création de menaces à distance Windows, OS X
APC planifié à distance Windows
Injection DYLD OS X
LSAAS Read Windows
Aucune allocation Windows, OS X

Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.

Informations supplémentaires

 

Vidéos

 

Produits concernés

Dell Endpoint Security Suite Enterprise
Propriétés de l’article
Numéro d’article: 000124724
Type d’article: How To
Dernière modification: 07 May 2024
Version:  8
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.