Passer au contenu principal
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Créez et accédez à une liste de vos produits

Definiciones de categorías de protección de memoria de Dell Endpoint Security Suite Enterprise

Résumé: En este artículo, se proporcionan definiciones para las categorías de Protección de memoria.

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Instructions

Nota:

Productos afectados:

  • Dell Endpoint Security Suite Enterprise

Sistemas operativos afectados:

  • Windows
  • Mac

Nota: Para ir a los mensajes de categoría: Terminales ->Amenazas avanzadas ->Intentos de explotación (actividades de amenazas)

SLN306461_en_US__2ddpkm1130b
Figura 1: (Solo en inglés) Amenazas avanzadas de detalles de terminales

Pila dinámica : la pila de un subproceso se reemplazó por una pila diferente. Por lo general, la computadora asigna una sola pila para un subproceso. Un atacante utilizaría una pila diferente para controlar la ejecución de una manera que la prevención de ejecución de datos (DEP, por sus siglas en inglés) no bloquee.

Stack Protection : la protección de memoria de la pila de un subproceso se modificó para habilitar el permiso de ejecución. La memoria de pila no debe ser ejecutable; por lo general, esto significa que un atacante se prepara para ejecutar código malicioso almacenado en la memoria de pila como parte de una vulnerabilidad, un intento que la prevención de ejecución de datos (DEP) bloquearía de otro modo.

Sobrescribir código : el código que reside en la memoria de un proceso se modificó mediante una técnica que puede indicar un intento de omitir la prevención de ejecución de datos (DEP).

Raspado de RAM: un proceso está tratando de leer datos válidos de seguimiento de banda magnética de otro proceso. Por lo general, se relaciona con computadoras de punto de venta (POS, por sus siglas en inglés).

Carga útil maliciosa : se detectó un código de shell genérico y la detección de carga útil asociada con la explotación.

Asignación remota de memoria : un proceso ha asignado memoria a otro proceso. La mayoría de las asignaciones se producen dentro del mismo proceso. Por lo general, esto indica un intento de insertar código o datos en otro proceso, que puede ser un primer paso para reforzar una presencia maliciosa en una computadora.

Remote Mapping of Memory : un proceso ha introducido código o datos en otro proceso. Esto puede indicar un intento de comenzar a ejecutar código en otro proceso y refuerza una presencia maliciosa.

Escritura remota en la memoria : un proceso modificó la memoria en otro proceso. Por lo general, se trata de un intento de almacenar código o datos en una memoria previamente asignada (consulte OutofProcessAllocation), pero es posible que un atacante esté tratando de sobrescribir la memoria existente para desviar la ejecución con fines maliciosos.

Escritura remota de PE en la memoria : un proceso modificó la memoria en otro proceso para que contenga una imagen ejecutable. Por lo general, esto indica que un atacante está intentando ejecutar código sin escribir primero ese código en el disco.

Código de sobrescritura remota : un proceso modificó la memoria ejecutable en otro proceso. En condiciones normales, la memoria ejecutable no se modifica, en especial, a través de otro proceso. Por lo general, esto indica un intento de desviar la ejecución en otro proceso.

Desasignación remota de memoria : un proceso eliminó un archivo ejecutable de Windows de la memoria de otro proceso. Esto puede indicar la intención de reemplazar la imagen ejecutable por una copia modificada para desviar la ejecución.

Creación de subprocesos remotos : un proceso ha creado un subproceso en otro proceso. Los subprocesos solo son creados por el proceso al que pertenecen. Los atacantes utilizan esto para activar una presencia maliciosa que se inyectó en otro proceso.

APC remoto programado : un proceso ha desviado la ejecución del subproceso de otro proceso. Un atacante utiliza esto para activar una presencia maliciosa que se inyectó en otro proceso.

Inyección de DYLD : se estableció una variable de entorno que hace que se inyecte una biblioteca compartida en un proceso iniciado. Los ataques pueden modificar la lista de aplicaciones, como Safari, o reemplazar aplicaciones con scripts bash, que hacen que sus módulos se carguen de forma automática cuando se inicia una aplicación.

Lectura de LSASS : se ha accedido a la memoria que pertenece al proceso de autoridad de seguridad local de Windows de una manera que indica un intento de obtener las contraseñas de los usuarios.

Zero Allocation : se asignó una página nula. Por lo general, la región de memoria se reserva, pero en ciertas circunstancias, se puede asignar. Los atacantes pueden usar esto para configurar la escalación de privilegios mediante el aprovechamiento de alguna vulnerabilidad de anulación de referencia nula conocida, por lo general, en el kernel.

Tipo de infracción por sistema operativo

En la siguiente tabla, se hace referencia a qué tipo de infracción se relaciona con qué sistema operativo.

Tipo Sistema operativo
Pivote de pila Windows, OS X
Stack Protect Windows, OS X
Overwrite Code Windows
Desechar RAM Windows
Carga útil maliciosa Windows
Asignación remota de memoria Windows, OS X
Asignación remota de memoria Windows, OS X
Escritura remota en la memoria Windows, OS X
Escritura remota de PE en la memoria Windows
Sobrescribir código de forma remota Windows
Quitar asignación remota de memoria Windows
Creación remota de amenazas Windows, OS X
APC remoto programado Windows
Inyección de DYLD OS X
Lectura de LSAAS Windows
Asignación de ceros Windows, OS X

Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.

Informations supplémentaires

 

Vidéos

 

Produits concernés

Dell Endpoint Security Suite Enterprise
Propriétés de l’article
Numéro d’article: 000124724
Type d’article: How To
Dernière modification: 07 May 2024
Version:  8
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.