Skip Navigation

Speicherschutz-Verletzungstypen

Exploitation-Verletzungstypen

Verletzungstyp
Beschreibung
Unterstütztes Betriebssystem
Stack Pivot
Der Stack für einen Thread wurde durch einen anderen Stack ersetzt. Im Allgemeinen weist das System nur einen einzelnen Stack für einen Thread zu. Ein Angreifer könnte einen anderen Stack verwenden, um die Ausführung so zu steuern, dass sie nicht von der Datenausführungsverhinderung (DEP, Data Execution Prevention) blockiert wird.
Windows
macOS
*
Linux
Stackschutz
Der Speicherschutz des Thread-Stacks wurde geändert, um die Ausführungsberechtigung zu aktivieren. Der Stapelspeicher sollte nicht ausführbar sein. Denn dies könnte bedeuten, dass ein Angreifer sich darauf vorbereitet, im Stapelspeicher gespeicherten bösartigen Code als Teil eines Exploits auszuführen, ein Versuch, der andernfalls durch die Datenausführungsverhinderung (DEP, Data Execution Prevention) blockiert werden würde.
Windows
macOS
*
Linux
Codeüberschreibung
Code, der sich im Speicher eines Prozesses befindet, wurde mit einer Technik geändert, die auf Versuche hinweisen kann, die Datenausführungsverhinderung (DEP) zu umgehen.
Windows
RAM-Scraping
Ein Prozess versucht, gültige Magnetstreifenspurdaten von einem anderen Prozess zu lesen. In der Regel wird dieser Verstoß mit POS-Systemen (Point of Sale Systems) in Verbindung gebracht.
Windows
Schädliche Payload
Es wurde ein generischer Shellcode und eine Payload im Zusammenhang mit Exploitation erkannt.
Diese Art der Speicherschutzverletzung unterstützt DLL-Ausschlüsse.
Windows
Verletzungstypen, die mit Agent 2.1.1580 oder höher verfügbar sind
Systemaufrufüberwachung
Es wurde ein Systemaufruf bei einer Anwendung oder einem Betriebssystem erkannt.
Windows
Direkte Systemaufrufe
Es wurde ein Versuch erkannt, unauffällig bösartigen Code in andere Prozesse zu injizieren. Dieser Verletzungstyp kann nicht blockiert werden.
Windows
System-DLL-Überschreibung
Es wurde ein Versuch erkannt, eine System-DLL zu überschreiben.
Diese Art der Speicherschutzverletzung unterstützt DLL-Ausschlüsse.
Windows
Gefährliches COM-Objekt
Es wurde schädlicher Code erkannt, der auf ein Component Object Model (COM)-Objekt verweist.
Windows
Injection über APC
Ein Prozess, der einen asynchronen Prozeduraufruf (APC) oder einen Start-Remote-Thread verwendet, um
LoadLibrary
oder eine ähnliche Funktion aufzurufen und dadurch beliebigen Code in den Zielprozess zu injizieren, wurde erkannt.
Wenn diese Richtlinie auf „Warnung“ gesetzt ist, werden Warnungen sowohl für ungefährliche als auch für schädliche Injektionen für Anwendungen auf
Windows
-Geräten angezeigt. Die Warnung meldet die Anwendung, die die Injektion erhalten hat, aber Sie müssen die ausführbare Quelle bestimmen, die die Warnung verursacht hat. Informationen zum Sammeln der erforderlichen Daten, mit denen Sie feststellen können, ob eine Injektion gültig oder schädlich ist, finden Sie unter support.blackberry.com in KB 92422.
Wenn diese Richtlinie so eingestellt ist, dass die Anwendung blockiert oder beendet wird, verhindert sie, dass gemeldete Anwendungen auf dem Gerät ausgeführt werden, selbst wenn sie unschädlich sind. Dadurch können die alltäglichen Aktivitäten eines Benutzers beeinträchtigt werden.
Windows
Verletzungstypen, die mit Agent 3.0.1000 oder höher verfügbar sind
Gefährliche VBA-Makros
Ein Makro, das gefährliche Implementierungen enthält, wurde erkannt.
Diese Einstellung schützt Geräte mit Agent-Version 2.1.1580 und höher vor schädlichen Makros. Die Ausschlüsse, die in der Speicherschutzrichtlinie angegeben sind, werden unter Agent-Version 3.0 und höher unterstützt.
Um Geräte mit Agent-Version 2.1.1578 und früher vor schädlichen Makros zu schützen, aktivieren und konfigurieren Sie die Skriptsteuerungsrichtlinie und die entsprechenden Ausschlüsse.
Windows
* Nur unter
macOS
Catalina und früheren Versionen unterstützt.

Prozessinjektion-Verletzungstypen

Verletzungstyp
Beschreibung
Unterstütztes Betriebssystem
Remote-Speicherzuweisung
Ein Prozess hat in einem anderen Prozess Speicher zugewiesen. Die meisten Zuweisungen erfolgen nur innerhalb desselben Prozesses. Dies kann auf einen Versuch hindeuten, Code oder Daten in einen anderen Prozess einzuschleusen, um eine schädliche Präsenz auf einem System zu verstärken.
Windows
macOS
Remote-Speicherzuordnung
Ein Prozess hat Code oder Daten in einen anderen Prozess eingebracht. Dies kann ein Hinweis darauf sein, dass versucht wird, Code in einem anderen Prozess auszuführen und dadurch eine schädliche Präsenz zu verstärken.
macOS
Remote-Schreiben in Speicher
Ein Prozess hat Speicher in einem anderen Prozess geändert. Dies kann auf einen Versuch hindeuten, Code oder Daten in zuvor zugewiesenem Speicher zu speichern (siehe
OutOfProcessAllocation
). Es ist jedoch möglich, dass ein Angreifer versucht, den vorhandenen Speicher zu überschreiben, um die Ausführung zu einem schädlichen Zweck umzuleiten.
Windows
macOS
Remote-PE-Schreibvorgang in Speicher
Ein Prozess hat den Speicher in einem anderen Prozess so geändert, dass er ein ausführbares Image enthält. Im Allgemeinen weist dies darauf hin, dass ein Angreifer versucht, Code auszuführen, ohne diesen zuerst auf den Datenträger zu schreiben.
Windows
Remote-Überschreiben von Code
Ein Prozess hat den ausführbaren Speicher in einem anderen Prozess geändert. Unter normalen Bedingungen wird der ausführbare Speicher nicht geändert, insbesondere nicht durch einen anderen Prozess. Dies weist in der Regel auf einen Versuch hin, die Ausführung in einen anderen Prozess umzuleiten.
Windows
Remote-Aufhebung der Speicherzuordnung
Ein Prozess hat eine ausführbare
Windows
-Datei aus dem Speicher eines anderen Prozesses entfernt. Dies kann ein Hinweis darauf sein, dass das ausführbare Image durch eine geänderte Kopie ersetzt werden soll, um die Ausführung umzuleiten.
Windows
macOS
Remote-Thread-Erstellung
Ein Prozess hat einen neuen Thread in einem anderen Prozess erstellt. Die Threads eines Prozesses werden in der Regel nur von demselben Prozess erstellt. Diese Methode wird in der Regel von einem Angreifer verwendet, um eine schädliche Präsenz zu aktivieren, die in einen anderen Prozess injiziert worden ist.
Windows
macOS
*
Remote-APC-Planung
Ein Prozess hat die Ausführung des Threads eines anderen Prozesses umgeleitet. Diese Methode wird in der Regel von einem Angreifer verwendet, um eine schädliche Präsenz zu aktivieren, die in einen anderen Prozess injiziert worden ist.
Windows
DYLD-Injektion
Es wurde eine Umgebungsvariable festgelegt, die dazu führt, dass eine Shared Library in einen gestarteten Prozess eingeschleust wird. Angreifer können Anwendungslisten wie
Safari
ändern oder Anwendungen durch Bash-Skripte ersetzen, was dazu führt, dass ihre Module automatisch geladen werden, wenn eine Anwendung gestartet wird.
macOS
*
Linux
Verletzungstypen, die mit Agent 2.1.1580 oder höher verfügbar sind
Doppelgänger
Ein neuer, bösartiger Prozess wurde von einer Datei gestartet, die noch nicht in das Dateisystem geschrieben wurde. Die Dateischreibtransaktion wird in der Regel nach dem Prozessstart zurückgesetzt (sodass die schädliche Datei nie auf der Festplatte gespeichert wird). Beim Versuch, die Datei auf der Festplatte zu scannen, wird nur die unveränderte ungefährliche Datei gefunden.
Windows
Gefährliche Umgebungsvariable
Es wurde eine Umgebungsvariable erkannt, mit der möglicherweise schädlicher Code verknüpft ist.
Windows
* Nur unter
macOS
Catalina und früheren Versionen unterstützt.

Escalation-Verletzungstypen

Verletzungstyp
Beschreibung
Unterstütztes Betriebssystem
LSASS-Lesen
Auf den Speicher des Prozesses
Windows
Local Security Authority wurde in einer Weise zugegriffen, die auf einen Versuch hindeutet, an die Kennwörter der Benutzer zu gelangen.
Windows
Nullzuteilung
Es wurde eine Nullseite zugewiesen. Der Speicherbereich ist in der Regel reserviert, kann aber unter bestimmten Umständen zugewiesen werden. Bei Angriffen kann dies verwendet werden, um eine Berechtigungseskalation einzurichten, indem ein bekannter Null-Dereferenz-Exploit genutzt wird, in der Regel im Kernel.
Windows
macOS
*
Verletzungstypen, die mit Agent 2.1.1580 oder höher verfügbar sind
Änderungen der Speicherberechtigung in anderen Prozessen
Ein Verletzungsprozess hat Speicherzugriffsberechtigungen innerhalb eines anderen Prozesses geändert. Dies geschieht in der Regel, um Code in einen anderen Prozess zu injizieren und den Speicher durch Ändern der Speicherzugriffsberechtigungen ausführbar zu machen.
Windows
Änderungen der Speicherberechtigung in untergeordneten Prozessen
Ein Verletzungsprozess hat einen untergeordneten Prozess erstellt und die Speicherzugriffsberechtigungen in diesem untergeordneten Prozess geändert.
Windows
Gestohlenes Systemtoken
Ein Zugriffstoken wurde geändert, damit ein Benutzer Sicherheitszugriffskontrollen umgehen kann.
Windows
Prozessstart mit geringer Integrität
Ein Prozess wurde so angepasst, dass er mit einem niedrigen Integritätsniveau ausgeführt wird.
Windows
* Nur unter
macOS
Catalina und früheren Versionen unterstützt.