Speicherschutz-Verletzungstypen
Exploitation-Verletzungstypen
Verletzungstyp | Beschreibung | Unterstütztes Betriebssystem |
---|---|---|
Stack Pivot | Der Stack für einen Thread wurde durch einen anderen Stack ersetzt. Im Allgemeinen weist das System nur einen einzelnen Stack für einen Thread zu. Ein Angreifer könnte einen anderen Stack verwenden, um die Ausführung so zu steuern, dass sie nicht von der Datenausführungsverhinderung (DEP, Data Execution Prevention) blockiert wird. | Windows macOS *Linux |
Stackschutz | Der Speicherschutz des Thread-Stacks wurde geändert, um die Ausführungsberechtigung zu aktivieren. Der Stapelspeicher sollte nicht ausführbar sein. Denn dies könnte bedeuten, dass ein Angreifer sich darauf vorbereitet, im Stapelspeicher gespeicherten bösartigen Code als Teil eines Exploits auszuführen, ein Versuch, der andernfalls durch die Datenausführungsverhinderung (DEP, Data Execution Prevention) blockiert werden würde. | Windows macOS *Linux |
Codeüberschreibung | Code, der sich im Speicher eines Prozesses befindet, wurde mit einer Technik geändert, die auf Versuche hinweisen kann, die Datenausführungsverhinderung (DEP) zu umgehen. | Windows |
RAM-Scraping | Ein Prozess versucht, gültige Magnetstreifenspurdaten von einem anderen Prozess zu lesen. In der Regel wird dieser Verstoß mit POS-Systemen (Point of Sale Systems) in Verbindung gebracht. | Windows |
Schädliche Payload | Es wurde ein generischer Shellcode und eine Payload im Zusammenhang mit Exploitation erkannt. Diese Art der Speicherschutzverletzung unterstützt DLL-Ausschlüsse. | Windows |
Verletzungstypen, die mit Agent 2.1.1580 oder höher verfügbar sind | ||
Systemaufrufüberwachung | Es wurde ein Systemaufruf bei einer Anwendung oder einem Betriebssystem erkannt. | Windows |
Direkte Systemaufrufe | Es wurde ein Versuch erkannt, unauffällig bösartigen Code in andere Prozesse zu injizieren. Dieser Verletzungstyp kann nicht blockiert werden. | Windows |
System-DLL-Überschreibung | Es wurde ein Versuch erkannt, eine System-DLL zu überschreiben. Diese Art der Speicherschutzverletzung unterstützt DLL-Ausschlüsse. | Windows |
Gefährliches COM-Objekt | Es wurde schädlicher Code erkannt, der auf ein Component Object Model (COM)-Objekt verweist. | Windows |
Injection über APC | Ein Prozess, der einen asynchronen Prozeduraufruf (APC) oder einen Start-Remote-Thread verwendet, um LoadLibrary oder eine ähnliche Funktion aufzurufen und dadurch beliebigen Code in den Zielprozess zu injizieren, wurde erkannt.Wenn diese Richtlinie auf „Warnung“ gesetzt ist, werden Warnungen sowohl für ungefährliche als auch für schädliche Injektionen für Anwendungen auf Windows -Geräten angezeigt. Die Warnung meldet die Anwendung, die die Injektion erhalten hat, aber Sie müssen die ausführbare Quelle bestimmen, die die Warnung verursacht hat. Informationen zum Sammeln der erforderlichen Daten, mit denen Sie feststellen können, ob eine Injektion gültig oder schädlich ist, finden Sie unter support.blackberry.com in KB 92422.Wenn diese Richtlinie so eingestellt ist, dass die Anwendung blockiert oder beendet wird, verhindert sie, dass gemeldete Anwendungen auf dem Gerät ausgeführt werden, selbst wenn sie unschädlich sind. Dadurch können die alltäglichen Aktivitäten eines Benutzers beeinträchtigt werden. | Windows |
Verletzungstypen, die mit Agent 3.0.1000 oder höher verfügbar sind | ||
Gefährliche VBA-Makros | Ein Makro, das gefährliche Implementierungen enthält, wurde erkannt. Diese Einstellung schützt Geräte mit Agent-Version 2.1.1580 und höher vor schädlichen Makros. Die Ausschlüsse, die in der Speicherschutzrichtlinie angegeben sind, werden unter Agent-Version 3.0 und höher unterstützt. Um Geräte mit Agent-Version 2.1.1578 und früher vor schädlichen Makros zu schützen, aktivieren und konfigurieren Sie die Skriptsteuerungsrichtlinie und die entsprechenden Ausschlüsse. | Windows |
* Nur unter
macOS
Catalina und früheren Versionen unterstützt.Prozessinjektion-Verletzungstypen
Verletzungstyp | Beschreibung | Unterstütztes Betriebssystem | |
---|---|---|---|
Remote-Speicherzuweisung | Ein Prozess hat in einem anderen Prozess Speicher zugewiesen. Die meisten Zuweisungen erfolgen nur innerhalb desselben Prozesses. Dies kann auf einen Versuch hindeuten, Code oder Daten in einen anderen Prozess einzuschleusen, um eine schädliche Präsenz auf einem System zu verstärken. | Windows macOS | |
Remote-Speicherzuordnung | Ein Prozess hat Code oder Daten in einen anderen Prozess eingebracht. Dies kann ein Hinweis darauf sein, dass versucht wird, Code in einem anderen Prozess auszuführen und dadurch eine schädliche Präsenz zu verstärken. | macOS | |
Remote-Schreiben in Speicher | Ein Prozess hat Speicher in einem anderen Prozess geändert. Dies kann auf einen Versuch hindeuten, Code oder Daten in zuvor zugewiesenem Speicher zu speichern (siehe OutOfProcessAllocation ). Es ist jedoch möglich, dass ein Angreifer versucht, den vorhandenen Speicher zu überschreiben, um die Ausführung zu einem schädlichen Zweck umzuleiten. | Windows macOS | |
Remote-PE-Schreibvorgang in Speicher | Ein Prozess hat den Speicher in einem anderen Prozess so geändert, dass er ein ausführbares Image enthält. Im Allgemeinen weist dies darauf hin, dass ein Angreifer versucht, Code auszuführen, ohne diesen zuerst auf den Datenträger zu schreiben. | Windows | |
Remote-Überschreiben von Code | Ein Prozess hat den ausführbaren Speicher in einem anderen Prozess geändert. Unter normalen Bedingungen wird der ausführbare Speicher nicht geändert, insbesondere nicht durch einen anderen Prozess. Dies weist in der Regel auf einen Versuch hin, die Ausführung in einen anderen Prozess umzuleiten. | Windows | |
Remote-Aufhebung der Speicherzuordnung | Ein Prozess hat eine ausführbare Windows -Datei aus dem Speicher eines anderen Prozesses entfernt. Dies kann ein Hinweis darauf sein, dass das ausführbare Image durch eine geänderte Kopie ersetzt werden soll, um die Ausführung umzuleiten. | Windows macOS | |
Remote-Thread-Erstellung | Ein Prozess hat einen neuen Thread in einem anderen Prozess erstellt. Die Threads eines Prozesses werden in der Regel nur von demselben Prozess erstellt. Diese Methode wird in der Regel von einem Angreifer verwendet, um eine schädliche Präsenz zu aktivieren, die in einen anderen Prozess injiziert worden ist. | Windows macOS * | |
Remote-APC-Planung | Ein Prozess hat die Ausführung des Threads eines anderen Prozesses umgeleitet. Diese Methode wird in der Regel von einem Angreifer verwendet, um eine schädliche Präsenz zu aktivieren, die in einen anderen Prozess injiziert worden ist. | Windows | |
DYLD-Injektion | Es wurde eine Umgebungsvariable festgelegt, die dazu führt, dass eine Shared Library in einen gestarteten Prozess eingeschleust wird. Angreifer können Anwendungslisten wie Safari ändern oder Anwendungen durch Bash-Skripte ersetzen, was dazu führt, dass ihre Module automatisch geladen werden, wenn eine Anwendung gestartet wird. | macOS *Linux | |
Verletzungstypen, die mit Agent 2.1.1580 oder höher verfügbar sind | |||
Doppelgänger | Ein neuer, bösartiger Prozess wurde von einer Datei gestartet, die noch nicht in das Dateisystem geschrieben wurde. Die Dateischreibtransaktion wird in der Regel nach dem Prozessstart zurückgesetzt (sodass die schädliche Datei nie auf der Festplatte gespeichert wird). Beim Versuch, die Datei auf der Festplatte zu scannen, wird nur die unveränderte ungefährliche Datei gefunden. | Windows | |
Gefährliche Umgebungsvariable | Es wurde eine Umgebungsvariable erkannt, mit der möglicherweise schädlicher Code verknüpft ist. | Windows |
* Nur unter
macOS
Catalina und früheren Versionen unterstützt.Escalation-Verletzungstypen
Verletzungstyp | Beschreibung | Unterstütztes Betriebssystem | |
---|---|---|---|
LSASS-Lesen | Auf den Speicher des Prozesses Windows Local Security Authority wurde in einer Weise zugegriffen, die auf einen Versuch hindeutet, an die Kennwörter der Benutzer zu gelangen. | Windows | |
Nullzuteilung | Es wurde eine Nullseite zugewiesen. Der Speicherbereich ist in der Regel reserviert, kann aber unter bestimmten Umständen zugewiesen werden. Bei Angriffen kann dies verwendet werden, um eine Berechtigungseskalation einzurichten, indem ein bekannter Null-Dereferenz-Exploit genutzt wird, in der Regel im Kernel. | Windows macOS * | |
Verletzungstypen, die mit Agent 2.1.1580 oder höher verfügbar sind | |||
Änderungen der Speicherberechtigung in anderen Prozessen | Ein Verletzungsprozess hat Speicherzugriffsberechtigungen innerhalb eines anderen Prozesses geändert. Dies geschieht in der Regel, um Code in einen anderen Prozess zu injizieren und den Speicher durch Ändern der Speicherzugriffsberechtigungen ausführbar zu machen. | Windows | |
Änderungen der Speicherberechtigung in untergeordneten Prozessen | Ein Verletzungsprozess hat einen untergeordneten Prozess erstellt und die Speicherzugriffsberechtigungen in diesem untergeordneten Prozess geändert. | Windows | |
Gestohlenes Systemtoken | Ein Zugriffstoken wurde geändert, damit ein Benutzer Sicherheitszugriffskontrollen umgehen kann. | Windows | |
Prozessstart mit geringer Integrität | Ein Prozess wurde so angepasst, dass er mit einem niedrigen Integritätsniveau ausgeführt wird. | Windows |
* Nur unter
macOS
Catalina und früheren Versionen unterstützt.