メモリ保護違反のタイプ
悪用違反タイプ
違反タイプ | 説明 | サポートされる OS |
---|---|---|
スタックピボット | スレッドのスタックが別のスタックに置き換えられました。通常、システムはスレッドに 1 つのスタックのみを割り当てます。攻撃者は別のスタックを使用して、データ実行防止(DEP)によってブロックされない方法で実行を制御する可能性があります。 | Windows macOS *Linux |
スタック保護 | スレッドのスタックのメモリ保護が変更され、実行権限が有効になりました。スタックメモリは実行可能であってはなりません。実行権限が有効になったということは、攻撃者が悪用の一環としてスタックメモリに格納された悪意のあるコードの実行準備をしている可能性があることを意味します。この試みは、本来であればデータ実行防止(DEP)によってブロックされます。 | Windows macOS *Linux |
コードの上書き | プロセスのメモリに存在するコードが、データ実行防止(DEP)を回避する可能性のある手法で変更されています。 | Windows |
RAMスクレイピング | プロセスが、別のプロセスから有効な磁気ストライプトラックデータを読み取ろうとしています。通常、この違反は販売時システム(POS)に関連付けられます。 | Windows |
悪意のあるペイロード | 悪用に関連する汎用シェルコードとペイロード検出が検出されました。 このメモリ保護違反タイプは、DLL 除外をサポートしています。 | Windows |
エージェント 2.1.1580 以降で使用可能な違反タイプ | ||
システムコールのモニタリング | アプリケーションまたはオペレーティングシステムへのシステムコールが検出されました。 | Windows |
直接システムコール | 悪意のあるコードを他のプロセスにサイレント注入しようとしたことが検出されました。この違反タイプはブロックできません。 | Windows |
システム DLL を上書き | システム DLL を上書きしようとしたことが検出されました。 このメモリ保護違反タイプは、DLL 除外をサポートしています。 | Windows |
危険な COM オブジェクト | コンポーネントオブジェクトモデル(COM)オブジェクトへの参照を持つ悪意のあるコードが検出されました。 | Windows |
APC 経由のインジェクション | プロセスが非同期プロシージャコール(APC)を使用しているか、リモートスレッドを開始して LoadLibrary などの関数を呼び出し、任意のコードをターゲットプロセスに注入するプロセスです。このポリシーが[アラート]に設定されている場合は、 Windows デバイス上のアプリケーションに対して実行される有効なインジェクションと悪意のあるインジェクションの両方に関するアラートが表示されることがあります。このアラートは、インジェクションを受けたアプリケーションを報告しますが、アラートの原因となった実行可能なソースはユーザーが特定する必要があります。インジェクションが有効か悪意があるかを判断する際に役立つ可能性のある必須データを収集する方法については、support.blackberry.com にアクセスして「KB 92422」を参照してください。このポリシーが[ブロック]または[停止]に設定されている場合は、報告されたアプリケーションが有効であっても、デバイスで実行されないようにします。これにより、ユーザーの日常の活動が中断されることがあります。 | Windows |
エージェント 3.0.1000 以降で使用可能な違反タイプ | ||
危険な VBA マクロ | 危険な実装を含むマクロが検出されました。 この設定は、エージェントバージョン 2.1.1580 以降を実行しているデバイスを悪意のあるマクロから保護します。メモリ保護ポリシーでの除外指定は、エージェントバージョン 3.0 以降でサポートされています。 エージェントバージョン 2.1.1578 以前を実行しているデバイスを悪意のあるマクロから保護するには、スクリプト制御ポリシーとその除外を有効にして設定します。 | Windows |
*
macOS
Catalina 以前のバージョンでのみサポートされています。プロセスの注入違反タイプ
違反タイプ | 説明 | サポートされる OS | |
---|---|---|---|
リモートでのメモリ割り当て | プロセスが別のプロセスでメモリを割り当てました。ほとんどの割り当ては同じプロセス内でのみ行われます。これは、システム上の悪意のあるものを強化するために、コードまたはデータを別のプロセスに注入しようとしたことを示している可能性があります。 | Windows macOS | |
リモートでのメモリマッピング | プロセスがコードやデータを別のプロセスに導入しました。これは、別のプロセスでコードの実行を開始しようとしたことを示しており、悪意のあるものを強化する可能性があります。 | macOS | |
リモートでのメモリ書き込み | プロセスが別のプロセスでメモリを変更しました。これは通常、以前に割り当てられたメモリにコードまたはデータを格納しようとしたことを示している可能性があります(「 OutOfProcessAllocation 」を参照)。ただし、攻撃者が悪意のある目的で実行を迂回するために、既存のメモリを上書きしようとしていることも考えられます。 | Windows macOS | |
リモートでのメモリへの PE 書き込み | プロセスが別のプロセスでメモリを変更して、実行可能イメージを格納しました。一般的に、最初にコードをディスクに書き込んでいない状態で、攻撃者がそのコードを実行しようとしていることを示しています。 | Windows | |
リモートでのコード上書き | プロセスが別のプロセスで実行可能メモリを変更しました。通常の状況では、特に別のプロセスによって実行可能メモリが変更されることはありません。これは通常、別のプロセスで実行を迂回しようとしたことを示しています。 | Windows | |
リモートでのメモリマッピング解除 | プロセスが別のプロセスのメモリから Windows 実行可能ファイルを削除しました。これは、実行を迂回するために、実行可能イメージを変更されたコピーに置き換える意図を示している可能性があります。 | Windows macOS | |
リモートでのスレッド作成 | プロセスが別のプロセスに新しいスレッドを作成しました。プロセスのスレッドは通常、同じプロセスによってのみ作成されます。この方法は通常、攻撃者が別のプロセスに侵入した悪意のあるものをアクティブ化するために使用されます。 | Windows macOS * | |
リモートでのAPCスケジュール | プロセスによって、別のプロセスのスレッドの実行が迂回されました。一般的に攻撃者はこの方法を使用して、別のプロセスに侵入した悪意のあるものをアクティブ化します。 | Windows | |
DYLDインジェクション | 起動されたプロセスに共有ライブラリが注入される原因となる環境変数が設定されました。攻撃者は、 Safari などのアプリケーションのリストを変更したり、アプリケーションを bash スクリプトで置き換えたりすることがあります。これにより、アプリケーションの起動時にモジュールが自動的に読み込まれます。 | macOS *Linux | |
エージェント 2.1.1580 以降で使用可能な違反タイプ | |||
ドッペルゲンガー | ファイルシステムにまだ書き込まれていないファイルから、悪意のある新しいプロセスが開始されました。ファイル書き込みトランザクションは通常、プロセスの開始後にロールバックされるため(これにより悪意のあるファイルがディスクにコミットされないようにします)、ディスク上のファイルをスキャンしようとすると、修正されていない良性ファイルのみが表示されます。 | Windows | |
危険な環境変数 | 悪意のあるコードにアタッチされている可能性のある環境変数が検出されました。 | Windows |
*
macOS
Catalina 以前のバージョンでのみサポートされています。昇格違反タイプ
違反タイプ | 説明 | サポートされる OS | |
---|---|---|---|
LSASS読取り | Windows ローカルセキュリティ権限プロセスに属するメモリに、ユーザーのパスワードを取得しようとしたことを示す方法でアクセスがありました。 | Windows | |
ゼロ割り当て | ヌルページが割り当てられました。メモリ領域は通常は予約済みですが、特定の状況では割り当てることができます。攻撃では、通常はカーネル内の既知のヌルデリファレンスエクスプロイトを利用して、権限の昇格を設定します。 | Windows macOS * | |
エージェント 2.1.1580 以降で使用可能な違反タイプ | |||
他のプロセスでメモリアクセス権を変更 | 違反しているプロセスが、別のプロセス内でメモリアクセス権限を変更しました。これは通常、コードを別のプロセスに注入し、メモリアクセス権限を変更してメモリを実行可能な状態にするために行われます。 | Windows | |
子プロセスでメモリアクセス権を変更 | 違反しているプロセスが子プロセスを作成し、その子プロセスのメモリアクセス権限を変更しました。 | Windows | |
盗まれたシステムトークン | アクセストークンが変更され、ユーザーがセキュリティアクセス制御を回避できるようになりました。 | Windows | |
低整合性プロセスの開始 | 整合性レベルが低いプロセスが実行されるように設定されました。 | Windows |
*
macOS
Catalina 以前のバージョンでのみサポートされています。