ナビゲーションをスキップする

メモリ保護違反のタイプ

悪用違反タイプ

違反タイプ
説明
サポートされる OS
スタックピボット
スレッドのスタックが別のスタックに置き換えられました。通常、システムはスレッドに 1 つのスタックのみを割り当てます。攻撃者は別のスタックを使用して、データ実行防止(DEP)によってブロックされない方法で実行を制御する可能性があります。
Windows
macOS
*
Linux
スタック保護
スレッドのスタックのメモリ保護が変更され、実行権限が有効になりました。スタックメモリは実行可能であってはなりません。実行権限が有効になったということは、攻撃者が悪用の一環としてスタックメモリに格納された悪意のあるコードの実行準備をしている可能性があることを意味します。この試みは、本来であればデータ実行防止(DEP)によってブロックされます。
Windows
macOS
*
Linux
コードの上書き
プロセスのメモリに存在するコードが、データ実行防止(DEP)を回避する可能性のある手法で変更されています。
Windows
RAMスクレイピング
プロセスが、別のプロセスから有効な磁気ストライプトラックデータを読み取ろうとしています。通常、この違反は販売時システム(POS)に関連付けられます。
Windows
悪意のあるペイロード
悪用に関連する汎用シェルコードとペイロード検出が検出されました。
このメモリ保護違反タイプは、DLL 除外をサポートしています。
Windows
エージェント 2.1.1580 以降で使用可能な違反タイプ
システムコールのモニタリング
アプリケーションまたはオペレーティングシステムへのシステムコールが検出されました。
Windows
直接システムコール
悪意のあるコードを他のプロセスにサイレント注入しようとしたことが検出されました。この違反タイプはブロックできません。
Windows
システム DLL を上書き
システム DLL を上書きしようとしたことが検出されました。
このメモリ保護違反タイプは、DLL 除外をサポートしています。
Windows
危険な COM オブジェクト
コンポーネントオブジェクトモデル(COM)オブジェクトへの参照を持つ悪意のあるコードが検出されました。
Windows
APC 経由のインジェクション
プロセスが非同期プロシージャコール(APC)を使用しているか、リモートスレッドを開始して
LoadLibrary
などの関数を呼び出し、任意のコードをターゲットプロセスに注入するプロセスです。
このポリシーが[アラート]に設定されている場合は、
Windows
デバイス上のアプリケーションに対して実行される有効なインジェクションと悪意のあるインジェクションの両方に関するアラートが表示されることがあります。このアラートは、インジェクションを受けたアプリケーションを報告しますが、アラートの原因となった実行可能なソースはユーザーが特定する必要があります。インジェクションが有効か悪意があるかを判断する際に役立つ可能性のある必須データを収集する方法については、support.blackberry.com にアクセスして「KB 92422」を参照してください。
このポリシーが[ブロック]または[停止]に設定されている場合は、報告されたアプリケーションが有効であっても、デバイスで実行されないようにします。これにより、ユーザーの日常の活動が中断されることがあります。
Windows
エージェント 3.0.1000 以降で使用可能な違反タイプ
危険な VBA マクロ
危険な実装を含むマクロが検出されました。
この設定は、エージェントバージョン 2.1.1580 以降を実行しているデバイスを悪意のあるマクロから保護します。メモリ保護ポリシーでの除外指定は、エージェントバージョン 3.0 以降でサポートされています。
エージェントバージョン 2.1.1578 以前を実行しているデバイスを悪意のあるマクロから保護するには、スクリプト制御ポリシーとその除外を有効にして設定します。
Windows
*
macOS
Catalina 以前のバージョンでのみサポートされています。

プロセスの注入違反タイプ

違反タイプ
説明
サポートされる OS
リモートでのメモリ割り当て
プロセスが別のプロセスでメモリを割り当てました。ほとんどの割り当ては同じプロセス内でのみ行われます。これは、システム上の悪意のあるものを強化するために、コードまたはデータを別のプロセスに注入しようとしたことを示している可能性があります。
Windows
macOS
リモートでのメモリマッピング
プロセスがコードやデータを別のプロセスに導入しました。これは、別のプロセスでコードの実行を開始しようとしたことを示しており、悪意のあるものを強化する可能性があります。
macOS
リモートでのメモリ書き込み
プロセスが別のプロセスでメモリを変更しました。これは通常、以前に割り当てられたメモリにコードまたはデータを格納しようとしたことを示している可能性があります(「
OutOfProcessAllocation
」を参照)。ただし、攻撃者が悪意のある目的で実行を迂回するために、既存のメモリを上書きしようとしていることも考えられます。
Windows
macOS
リモートでのメモリへの PE 書き込み
プロセスが別のプロセスでメモリを変更して、実行可能イメージを格納しました。一般的に、最初にコードをディスクに書き込んでいない状態で、攻撃者がそのコードを実行しようとしていることを示しています。
Windows
リモートでのコード上書き
プロセスが別のプロセスで実行可能メモリを変更しました。通常の状況では、特に別のプロセスによって実行可能メモリが変更されることはありません。これは通常、別のプロセスで実行を迂回しようとしたことを示しています。
Windows
リモートでのメモリマッピング解除
プロセスが別のプロセスのメモリから
Windows
実行可能ファイルを削除しました。これは、実行を迂回するために、実行可能イメージを変更されたコピーに置き換える意図を示している可能性があります。
Windows
macOS
リモートでのスレッド作成
プロセスが別のプロセスに新しいスレッドを作成しました。プロセスのスレッドは通常、同じプロセスによってのみ作成されます。この方法は通常、攻撃者が別のプロセスに侵入した悪意のあるものをアクティブ化するために使用されます。
Windows
macOS
*
リモートでのAPCスケジュール
プロセスによって、別のプロセスのスレッドの実行が迂回されました。一般的に攻撃者はこの方法を使用して、別のプロセスに侵入した悪意のあるものをアクティブ化します。
Windows
DYLDインジェクション
起動されたプロセスに共有ライブラリが注入される原因となる環境変数が設定されました。攻撃者は、
Safari
などのアプリケーションのリストを変更したり、アプリケーションを bash スクリプトで置き換えたりすることがあります。これにより、アプリケーションの起動時にモジュールが自動的に読み込まれます。
macOS
*
Linux
エージェント 2.1.1580 以降で使用可能な違反タイプ
ドッペルゲンガー
ファイルシステムにまだ書き込まれていないファイルから、悪意のある新しいプロセスが開始されました。ファイル書き込みトランザクションは通常、プロセスの開始後にロールバックされるため(これにより悪意のあるファイルがディスクにコミットされないようにします)、ディスク上のファイルをスキャンしようとすると、修正されていない良性ファイルのみが表示されます。
Windows
危険な環境変数
悪意のあるコードにアタッチされている可能性のある環境変数が検出されました。
Windows
*
macOS
Catalina 以前のバージョンでのみサポートされています。

昇格違反タイプ

違反タイプ
説明
サポートされる OS
LSASS読取り
Windows
ローカルセキュリティ権限プロセスに属するメモリに、ユーザーのパスワードを取得しようとしたことを示す方法でアクセスがありました。
Windows
ゼロ割り当て
ヌルページが割り当てられました。メモリ領域は通常は予約済みですが、特定の状況では割り当てることができます。攻撃では、通常はカーネル内の既知のヌルデリファレンスエクスプロイトを利用して、権限の昇格を設定します。
Windows
macOS
*
エージェント 2.1.1580 以降で使用可能な違反タイプ
他のプロセスでメモリアクセス権を変更
違反しているプロセスが、別のプロセス内でメモリアクセス権限を変更しました。これは通常、コードを別のプロセスに注入し、メモリアクセス権限を変更してメモリを実行可能な状態にするために行われます。
Windows
子プロセスでメモリアクセス権を変更
違反しているプロセスが子プロセスを作成し、その子プロセスのメモリアクセス権限を変更しました。
Windows
盗まれたシステムトークン
アクセストークンが変更され、ユーザーがセキュリティアクセス制御を回避できるようになりました。
Windows
低整合性プロセスの開始
整合性レベルが低いプロセスが実行されるように設定されました。
Windows
*
macOS
Catalina 以前のバージョンでのみサポートされています。