Types de violations de protection de la mémoire
Types de violation par exploitation
Type de violation | Description | Système d'exploitation pris en charge |
|---|---|---|
Pivot de pile | La pile d'un thread a été remplacée par une pile différente. En général, le système alloue une seule pile pour un thread. Un utilisateur malveillant pourrait utiliser une pile différente pour contrôler l'exécution en évitant le blocage de la stratégie de prévention de l'exécution des données. | Windows macOS *Linux |
Protection de pile | La protection de la mémoire d'une pile de thread a été modifiée pour activer l'autorisation d'exécution. La mémoire de la pile ne doit pas être exécutable ; en général, cela peut signifier qu'un utilisateur malveillant prépare l'exécution de code malveillant stocké dans la mémoire de la pile en vue d'une exploitation, tentative qui serait normalement bloquée par la prévention de l'exécution des données. | Windows macOS *Linux |
Écraser le code | Le code résidant dans la mémoire d'un processus a été modifié à l'aide d'une technique qui peut indiquer une tentative de contournement de la stratégie de prévention de l'exécution des données. | Windows |
Extraction de RAM | Un processus tente de lire des données de piste à bande magnétique valides à partir d'un autre processus. En général, cette violation est associée aux systèmes de point de vente (POS). | Windows |
Charge utile malveillante | Un shellcode et une charge utile génériques associés à l'exploitation ont été détectés. Ce type de violation de protection de la mémoire prend en charge les exclusions DLL. | Windows |
Types de violations disponibles avec l'agent 2.1.1580 ou une version ultérieure | ||
Surveillance des appels système | Un appel système effectué vers une application ou un système d'exploitation a été détecté. | Windows |
Appels système directs | Une tentative d'injection silencieuse de code malveillant dans d'autres processus a été détectée. Ce type de violation ne peut pas être bloqué. | Windows |
Écrasement de la DLL système | Une tentative d'écrasement d'une DLL système a été détectée. Ce type de violation de protection de la mémoire prend en charge les exclusions DLL. | Windows |
Objet COM dangereux | Un code malveillant référençant un objet COM (Component Object Model) a été détecté. | Windows |
Injection via APC | Un processus injectant un code arbitraire dans le processus cible en utilisant un appel de procédure asynchrone (APC) ou un thread distant de démarrage pour appeler LoadLibrary , ou une fonction similaire, a été détecté.Si cette stratégie est définie sur Alerte, vous pouvez vous attendre à voir des alertes pour les injections valides et malveillantes se produisant pour les applications sur les terminaux Windows . L'alerte signale l'application qui a reçu l'injection, mais vous devez déterminer la source exécutable à l'origine de l'alerte. Pour plus d'informations sur la collecte des données nécessaires qui peuvent vous aider à déterminer si une injection était valide ou malveillante, consultez l'article 92422 de la base de connaissances sur support.blackberry.com.Si cette règle est définie sur Bloquer ou Terminer, elle empêche l'exécution des applications signalées sur le terminal, même si elles sont valides. Cela peut perturber les activités quotidiennes d'un utilisateur. | Windows |
Types de violation disponibles avec l'agent 3.0.1000 ou version ultérieure | ||
Macros VBA dangereuses | Une macro contenant des implémentations dangereuses a été détectée. Ce paramètre protège les terminaux exécutant l'agent version 2.1.1580 et versions ultérieures contre les macros malveillantes. Les exclusions spécifiées dans la stratégie de protection de la mémoire sont prises en charge par l'agent version 3.0 et versions ultérieures. Pour protéger les terminaux exécutant l'agent version 2.1.1578 et ses versions antérieures contre les macros malveillantes, activez et configurez la stratégie de contrôle des scripts et ses exclusions. | Windows |
* Pris en charge uniquement sur
macOS
Catalina et les versions antérieures.Types de violation par injection de processus
Type de violation | Description | Système d'exploitation pris en charge | |
|---|---|---|---|
Allocation à distance de mémoire | Un processus a alloué de la mémoire dans un autre processus. La plupart des allocations se produisent uniquement dans un seul processus. Cela peut indiquer une tentative d'injection de code ou de données dans un autre processus, pour renforcer une présence malveillante sur un système. | Windows macOS | |
Mappage à distance de la mémoire | Un processus a introduit du code ou des données dans un autre processus. Cela peut indiquer une tentative de démarrage de l'exécution du code dans un autre processus pour renforcer une présence malveillante. | macOS | |
Écriture à distance dans la mémoire | Un processus a modifié la mémoire dans un autre processus. Il peut s'agir d'une tentative de stockage de code ou de données dans la mémoire précédemment allouée (voir OutOfProcessAllocation ), mais il est possible qu'un utilisateur malveillant tente d'écraser la mémoire existante pour détourner l'exécution à des fins malveillantes. | Windows macOS | |
Écriture à distance de PE dans la mémoire | Un processus a modifié la mémoire dans un autre processus pour contenir une image exécutable. En général, cela indique qu'un utilisateur malveillant tente d'exécuter du code sans l'écrire sur le disque au préalable. | Windows | |
Écrasement du code à distance | Un processus a modifié la mémoire exécutable dans un autre processus. Dans des conditions normales, la mémoire exécutable n'est pas modifiée, notamment par un autre processus. Cela indique généralement une tentative de déviation d'une exécution vers un autre processus. | Windows | |
Annulation du mappage à distance de la mémoire | Un processus a supprimé un exécutable Windows de la mémoire d'un autre processus. Cela peut indiquer une tentative de remplacement de l'image exécutable par une copie modifiée afin d'en détourner l'exécution. | Windows macOS | |
Création de thread à distance | Un processus a créé un nouveau thread dans un autre processus. En général, les threads sont uniquement créés par un même processus. Un utilisateur malveillant utilise généralement cette méthode pour activer une présence malveillante qui a été injectée dans un autre processus. | Windows macOS * | |
Planification APC à distance | Un processus a dévié l'exécution du thread d'un autre processus. Généralement, un utilisateur malveillant utilise généralement cette méthode pour activer une présence malveillante qui a été injectée dans un autre processus. | Windows | |
Injection de DYLD | Une variable d'environnement a été définie pour entrainer l'injection d'une bibliothèque partagée dans un processus lancé. Les attaques peuvent modifier la liste d'applications telles que Safari , ou remplacer des applications par des scripts bash, ce qui autorise le chargement automatique de leurs modules lors du démarrage d'une application. | macOS *Linux | |
Types de violations disponibles avec l'agent 2.1.1580 ou une version ultérieure | |||
Typosquattage | Un nouveau processus malveillant a été lancé à partir d'un fichier non encore écrit dans le système de fichiers. La transaction d'écriture de fichier est généralement annulée après le démarrage du processus (de sorte que le fichier malveillant ne soit jamais validé sur le disque) et toute tentative d'analyse du fichier sur le disque obtiendra uniquement un fichier inoffensif non modifié. | Windows | |
Variable d'environnement dangereuse | Une variable d'environnement potentiellement associée à un programme malveillant a été détectée. | Windows | |
* Pris en charge uniquement sur
macOS
Catalina et les versions antérieures.Types de violation par escalade
Type de violation | Description | Système d'exploitation pris en charge | |
|---|---|---|---|
Lecture LSASS | La mémoire appartenant au processus d'autorité de sécurité locale de Windows a fait l'objet d'un accès indiquant une tentative d'obtention des mots de passe des utilisateurs. | Windows | |
Attribution nulle | Une page nulle a été affectée. La zone de mémoire est généralement réservée, mais dans certaines circonstances, elle peut être allouée. Les attaques peuvent l'utiliser pour configurer l'escalade des privilèges en profitant d'un exploit de référence nulle connu, généralement dans le noyau. | Windows macOS * | |
Types de violations disponibles avec l'agent 2.1.1580 ou une version ultérieure | |||
Modifications des autorisations de mémoire dans d'autres processus | Un processus en violation a modifié les autorisations d'accès à la mémoire dans un autre processus. L'objectif est généralement d'injecter du code dans un autre processus et de rendre la mémoire exécutable en modifiant ses autorisations d'accès. | Windows | |
Modifications des autorisations de mémoire dans des processus enfants | Un processus en violation a créé un processus enfant et a modifié les autorisations d'accès à la mémoire dans celui-ci. | Windows | |
Jeton système volé | Un jeton d'accès a été modifié pour permettre à un utilisateur de contourner les contrôles d'accès de sécurité. | Windows | |
Début du processus à faible intégrité | Un processus a été configuré pour s'exécuter avec un niveau d'intégrité faible. | Windows | |
* Pris en charge uniquement sur
macOS
Catalina et les versions antérieures.