Geräterichtlinie: Einstellungen für den Speicherschutz

Speicherschutzeinstellungen legen fest, wie der Agent Speicherauslösungen verarbeitet, einschließlich Prozessinjektionen und Eskalationen. Sie können Ausschlüsse für ausführbare Dateien und Makrodateien hinzufügen, die Sie ausführen lassen möchten.

Einstellung

Beschreibung

Speicherschutz

Wenn diese Option aktiviert ist, erkennt der Aurora Protect Desktop-Agent verschiedene Arten von Prozessaufrufen, die eine Bedrohung darstellen können, und behandelt jeden Typ entsprechend den von Ihnen konfigurierten Optionen.

Die folgenden Tabellen für Verletzungstypen enthalten weitere Informationen zu jedem Verletzungstyp. Für jeden Verletzungstyp können Sie den Agenten so konfigurieren, dass er mit einer der folgenden Aktionen antwortet:
  • Ignorieren: Der Agent ergreift keine Maßnahme.
  • Warnung: Der Agent protokolliert die Verletzung und meldet den Vorfall an die Verwaltungskonsole.
  • Sperren: Der Agent protokolliert den Verstoß, meldet den Vorfall an die Verwaltungskonsole und blockiert den Prozessaufruf. Die Anwendung, die den Aufruf getätigt hat, kann ausgeführt werden.
  • Beenden: Der Agent protokolliert den Verstoß, meldet den Vorfall an die Verwaltungskonsole, blockiert den Prozessaufruf und beendet die Anwendung, die den Aufruf getätigt hat.

Ausführbare Dateien oder Makrodateien ausschließen: Ausschluss hinzufügen

Sie können den relativen Pfad der Dateien angeben, die der Aurora Protect Desktop-Agent ignorieren soll, wenn er versucht, Speicherschutzbedrohungen zu erkennen. Wenn Sie der Ausschlussliste eine Datei hinzufügen, können Sie zulassen, dass die Datei auf Geräten installiert und ausgeführt wird, denen die Richtlinie zugewiesen ist.

Wenn Sie einen Ausschluss hinzufügen, geben Sie den relativen Pfad der Datei und die Verletzungsarten an, die Sie ignorieren möchten. Auf Windows-Geräten können Sie auch den absoluten Dateipfad angeben. Verwenden Sie gekürzte relative Pfade mit Vorsicht, da andere ausführbare Dateien mit demselben relativen Pfad ausgeschlossen werden könnten.

Nach Anwendung des Ausschlusses müssen alle Instanzen dieses Prozesses beendet werden, damit der Treiber nicht mehr in den Prozess eingreift.

Anmerkung: Wenn Sie einen Ausschluss speichern, ohne mindestens einen zu ignorierenden Verletzungstyp hinzuzufügen, wird der Ausschluss sowohl auf Speicherschutz- als auch auf Skriptsteuerungsereignisse angewendet. Wenn mindestens ein zu ignorierender Verletzungstyp hinzugefügt wird, wird der Ausschluss nur auf den Speicherschutz angewendet.
Windows-Beispiele:
  • Relativer Pfad: \Application\Subfolder\application.exe
  • Absoluter Pfad: C:\Application\Subfolder\application.exe
Linux-Beispiele:
  • Relativer Pfad: /opt/application/executable
  • Relativer Pfad für Dynamic Library-Dateien: /executable.dylib
macOS-Beispiele:
  • Relativer Pfad ohne Leerzeichen: /Applications/SampleApplication.app/Contents/MacOS/executable
  • Relativer Pfad mit Leerzeichen: /Applications/Sample Application.app/Contents/MacOS/executable
  • Relativer Pfad für Dynamic Library-Dateien: /executable.dylib
  • Sie können auch Platzhalter für den Schutz des Speichers verwenden. Weitere Informationen finden Sie unter „Platzhalter“ und „Ausschlüsse für den Speicherschutz“.

Weitere Informationen zur Verwendung von Platzhaltern für ausführbare Dateien oder Makroausschlüsse finden Sie unten.

Ausschluss hinzufügen: Als DLL-Ausschluss behandeln

Aktivieren Sie diese Einstellung, wenn Sie einen Ausschluss für eine DLL eines Drittanbieters hinzufügen möchten. Wenn Sie beispielsweise Sicherheitsprodukte von Drittanbietern zusätzlich zu Aurora Protect Desktop für Windows ausführen, können Sie einen Ausschluss für die entsprechenden .dll-Dateien hinzufügen, damit Aurora Protect bestimmte Verstöße für diese Produkte ignoriert.

Diese Funktion unterstützt nur die Verletzungstypen „Schädliche Payload“ und „System-DLL-Überschreibung“. Diese Verletzungsarten werden nur für Windows-Geräte unterstützt.

Beachten Sie Folgendes, wenn Sie einen DLL-Ausschluss angeben:
  • Auf Geräten muss der Aurora Protect Desktop-Agent für Windows Version 3.1.1001 oder höher ausgeführt werden.
  • Der von Ihnen angegebene Dateipfad muss der vollständige, direkte Pfad zur .dll-Datei sein. Platzhalter sind nicht zulässig.
  • Die DLL-Datei muss mit einem Zertifikat signiert werden, das auf dem Gerät vertrauenswürdig ist, da sie andernfalls nicht ausgeschlossen wird.
  • Weitere Informationen zur Unterstützung von DLL-Ausschlüssen finden Sie in KB 42221199112091.

Ausschluss hinzufügen: Ignorieren bestimmter Verletzungsarten

Aktivieren Sie diese Einstellung, wenn Sie einen Speicherschutzausschluss hinzufügen, um die Verletzungskategorien und spezifischen Verletzungsarten auszuwählen, die der Aurora Protect Desktop-Agent ignorieren soll.

Wenn Sie beim Hinzufügen von Ausnahmen möchten, dass die Richtlinie nur für Verstöße gegen den Speicherschutz und nicht für Verstöße gegen die Skriptsteuerung gilt, geben Sie mindestens einen Verstoßtyp an, den Sie ignorieren möchten. Wenn Sie keine zu ignorierenden Verletzungstypen auswählen, wird eine Warnmeldung angezeigt, und der Ausschluss gilt sowohl für die Speicherschutz- als auch für die Skriptsteuerungsrichtlinien.

Verwendung von Platzhaltern für ausführbare Dateien oder Makroausschlüsse

Beachten Sie Folgendes bei der Verwendung von Sonderzeichen und Platzhaltern (*) bei Speicherschutzausschlüssen:
  • Speicherschutzausschlüsse können die folgenden Sonderzeichen enthalten: ^ & ' @ { } [ ] , $ = ! - # ( ) % . + ~ _ *
  • Auf Windows-Geräten werden alle Buchstabenwerte gefolgt von einem Doppelpunkt (z. B. C:) unterstützt.
  • Das Escaping eines Sternchens (*) wird nicht unterstützt. Sie können es beispielsweise nicht verwenden, um eine Datei auszuschließen, die im Dateinamen ein Sternchen enthält.
  • Beim Hinzufügen von DLL-Ausschlüssen sind Platzhalter nicht zulässig.
  • Ein *-Platzhalter entspricht null oder mehr Zeichen, mit Ausnahme der plattformspezifischen Dateipfadtrennzeichen. Die Dateipfadtrennzeichen sind auf Windows-Geräten \ und auf Linux und macOS /.
  • Ein **-Platzhalter stimmt mit null oder mehr Verzeichnissen in einem absoluten Pfad überein, um Laufwerke, Verzeichnisse und untergeordnete Verzeichnisse auszuschließen. Beispiel: C:\MyApp\''\**\''.
    • Verwenden Sie ** immer mit Dateipfadtrennzeichen wie \**\ oder /**/
    • Das Muster **\ ist nur gültig, wenn es sich am Anfang des Musters für Windows-Geräte befindet. Dies entspricht allen Verzeichnissen auf allen Laufwerken.
    • Sie können \**\ oder /**/ mehrmals in einem Pfad ohne Einschränkung verwenden.
    • Vermeiden Sie die Verwendung von ** unmittelbar nach einem Laufwerkbuchstaben oder zu Beginn eines Ausschlusses. Beispiel: C:\\program.exe auf Windows oder /**/program.dmg auf macOS, da dadurch alle Verzeichnisse und untergeordneten Verzeichnisse auf dem Laufwerk ausgeschlossen werden.
  • Beispiele für die Verwendung von Platzhaltern bei Ausschlüssen des Speicherschutzes finden Sie unter Windows-Beispiele für die Verwendung von Platzhaltern in Speicherschutzausschlüssen und macOS -Beispiele zu den in Speicherschutzausschlüssen verwendeten Platzhaltern.
  • Drei Sternchen (***) sind für Ausschlüsse nicht zulässig, da dies auch Tippfehler sein könnten. Bei dem Muster „C:\***.exe“ kann es z. B. sein, dass der Benutzer „C:\**\*.exe“ schreiben wollte, aber versehentlich ein „\“ ausgelassen hat. Wenn „***“ als ein einzelnes „*“ behandelt werden würde, könnte dies zu einem anderen Verhalten führen als beabsichtigt.

Exploitation-Verletzungstypen

Verletzungstyp

Unterstütztes Betriebssystem

Beschreibung

Stack Pivot

Windows

Linux

Erkennt, ob der Stack für einen Thread durch einen anderen Stack ersetzt wurde. Im Allgemeinen weist das System nur einen einzelnen Stack für einen Thread zu. Ein Angreifer könnte einen anderen Stack verwenden, um die Ausführung so zu steuern, dass sie nicht von der Datenausführungsverhinderung (DEP, Data Execution Prevention) blockiert wird.

Stackschutz

Windows

Linux

Erkennt, ob der Speicherschutz eines Thread-Stacks geändert wurde, um die Ausführungsberechtigung zu aktivieren. Der Stapelspeicher sollte nicht ausführbar sein. Denn dies könnte bedeuten, dass ein Angreifer sich darauf vorbereitet, im Stapelspeicher gespeicherten bösartigen Code als Teil eines Exploits auszuführen, ein Versuch, der andernfalls durch die Datenausführungsverhinderung (DEP, Data Execution Prevention) blockiert werden würde.

Codeüberschreibung

Windows

Erkennt, ob der Code, der sich im Speicher eines Prozesses befindet, so geändert wurde, dass möglicherweise versucht wird, DEP (Data Execution Prevention) zu umgehen.

RAM-Scraping

Windows

Erkennt, ob ein Prozess versucht, gültige Magnetstreifen-Trackdaten aus einem anderen Prozess zu lesen. In der Regel wird dieser Verstoß mit POS-Systemen (Point of Sale) in Verbindung gebracht.

Schädliche Payload

Windows

Erkennt Shellcode und Payloads, die mit Exploit-Angriffen verbunden sind.

Dieser Verletzungstyp unterstützt DLL-Ausschlüsse.

Systemaufrufüberwachung

Windows

Erkennt Systemaufrufe an einer Anwendung oder einem Betriebssystem.

Direkte Systemaufrufe

Windows

Erkennt Versuche, heimlich bösartigen Code in andere Prozesse einzuschleusen. Dieser Verletzungstyp kann nicht blockiert werden.

System-DLL-Überschreibung

Windows

Erkennt Versuche, eine System-DLL zu überschreiben.

Dieser Verletzungstyp unterstützt DLL-Ausschlüsse.

Gefährliches COM-Objekt

Windows

Erkennt bösartigen Code, der eine Referenz auf ein COM-Objekt (Component Object Model) hat.

Injection über APC

Windows

Erkennt, ob ein Prozess mit Hilfe eines asynchronen Prozeduraufrufs (APC) beliebigen Code in einen Zielprozess einschleust oder einen entfernten Thread zum Aufruf von LoadLibrary oder einer ähnlichen Funktion startet.

Wenn die Aktion auf „Warnung“ eingestellt ist, werden Warnungen sowohl für gültige als auch für schädliche Injektionen angezeigt. Die Warnung meldet die Anwendung, die die Injektion erhalten hat, aber Sie müssen die ausführbare Quelle bestimmen, die die Warnung verursacht hat. Weitere Informationen finden Sie unter KB 42221135706139.

Wenn die Aktion auf Sperren oder Beenden eingestellt ist, werden gemeldete Apps nicht auf dem Gerät ausgeführt, auch wenn sie gültig sind.

Gefährliches VBA-Makro

Windows

Erkennt Makros, die gefährliche Implementierungen enthalten. Schützt Geräte mit Agent-Version 2.1.1580 und höher. In Agent-Version 3.0 und höher erden jegliche Speicherschutzausschlüsse unterstützt.

Prozessinjektion-Verletzungstypen

Verletzungstyp

Unterstütztes Betriebssystem

Beschreibung

Remote-Speicherzuweisung

Windows

macOS

Erkennt, ob ein Prozess Speicher in einem anderen Prozess zuweist. Die meisten Zuweisungen erfolgen nur innerhalb desselben Prozesses. Dies kann auf einen Versuch hindeuten, Code oder Daten in einen anderen Prozess einzuschleusen, um eine schädliche Präsenz auf einem System zu verstärken.

Remote-Speicherzuordnung

macOS

Erkennt, ob ein Prozess Code oder Daten in einen anderen Prozess injiziert. Dies könnte auf einen Versuch hindeuten, Code in einem anderen Prozess auszuführen und eine bösartige Präsenz zu verstärken.

Remote-Schreiben in Speicher

Windows

macOS

Erkennt, ob ein Prozess Speicher in einem anderen Prozess geändert hat. Dies kann auf einen Versuch hindeuten, Code oder Daten in zuvor zugewiesenem Speicher zu speichern. Es ist jedoch möglich, dass ein Angreifer versucht, den vorhandenen Speicher zu überschreiben, um die Ausführung zu einem schädlichen Zweck umzuleiten.

Remote-PE-Schreibvorgang in Speicher

Windows

Erkennt, ob ein Prozess Speicher in einem anderen Prozess so geändert hat, dass er ein ausführbares Image enthält. Dies kann darauf hinweisen, dass ein Angreifer versucht, Code auszuführen, ohne diesen zuerst auf den Datenträger zu schreiben.

Remote-Überschreiben von Code

Windows

Erkennt, ob ein Prozess ausführbaren Speicher in einem anderen Prozess geändert hat. Unter normalen Bedingungen wird der ausführbare Speicher nicht geändert, insbesondere nicht durch einen anderen Prozess. Dies kann auf einen Versuch hinweisen, die Ausführung in einem anderen Prozess umzuleiten.

Remote-Aufhebung der Speicherzuordnung

Windows

macOS

Erkennt, ob ein Prozess eine ausführbare Datei aus dem Speicher eines anderen Prozesses entfernt hat. Dies kann ein Hinweis darauf sein, dass das ausführbare Image durch eine geänderte Kopie ersetzt werden soll, um die Ausführung umzuleiten.

Remote-Thread-Erstellung

Windows

Ermittelt, ob ein Prozess einen neuen Thread in einem anderen Prozess erstellt hat. Die Threads eines Prozesses werden in der Regel nur von demselben Prozess erstellt. Diese Methode kann von einem Angreifer verwendet werden, um eine schädliche Präsenz zu aktivieren, die in einen anderen Prozess injiziert wurde.

Remote-APC-Planung

Windows

Erkennt, ob ein Prozess die Ausführung des Threads eines anderen Prozesses umgeleitet hat. Ein Angreifer kann diese Methode verwenden, um eine schädliche Präsenz zu aktivieren, die in einen anderen Prozess injiziert wurde.

DYLD-Injektion

Linux

Erkennt, ob eine Umgebungsvariable gesetzt wurde, die dazu führt, dass eine gemeinsam genutzte Bibliothek in einen gestarteten Prozess injiziert wird. Angreifer können Anwendungslisten ändern oder Anwendungen durch Bash-Skripte ersetzen, was dazu führt, dass ihre Module automatisch geladen werden, wenn eine Anwendung gestartet wird.

Doppelgänger

Windows

Erkennt, ob ein neuer bösartiger Prozess aus einer Datei gestartet wurde, die noch nicht in das Dateisystem geschrieben wurde. Die Dateischreibtransaktion wird in der Regel nach dem Prozessstart zurückgesetzt (so dass die schädliche Datei nie auf der Festplatte gespeichert wird). Beim Versuch, die Datei auf der Festplatte zu scannen, wird nur die unveränderte ungefährliche Datei gefunden.

Gefährliche Umgebungsvariable

Windows

Erkennt eine Umgebungsvariable, an die möglicherweise Schadcode angehängt ist.

Escalation-Verletzungstypen

Verletzungstyp

Unterstütztes Betriebssystem

Beschreibung

LSASS-Lesen

Windows

Erkennt, ob auf den Speicher des Windows Local Security Authority-Prozesses in einer Weise zugegriffen wurde, die auf einen Versuch hindeutet, an Benutzerkennwörter zu gelangen.

Nullzuteilung

Windows

Erkennt, ob eine Null-Seite zugewiesen wurde. Der Speicherbereich ist in der Regel reserviert, kann aber unter bestimmten Umständen zugewiesen werden. Bei Angriffen kann dies verwendet werden, um eine Berechtigungseskalation einzurichten, indem ein bekannter Null-Dereferenz-Exploit genutzt wird, in der Regel im Kernel.

Änderungen der Speicherberechtigung in anderen Prozessen

Windows

Erkennt, ob ein verletzter Prozess über geänderte Speicherzugriffsberechtigungen innerhalb eines anderen Prozesses verfügt. Dies geschieht in der Regel, um Code in einen anderen Prozess zu injizieren und den Speicher durch Ändern der Speicherzugriffsberechtigungen ausführbar zu machen.

Änderungen der Speicherberechtigung in untergeordneten Prozessen

Windows

Erkennt, ob ein verletzender Prozess einen untergeordneten Prozess erstellt hat und die Speicherzugriffsrechte in diesem Prozess geändert hat.

Gestohlenes Systemtoken

Windows

Ermittelt, ob ein Zugriffstoken geändert wurde, damit ein Benutzer Sicherheitszugriffskontrollen umgehen kann.

Prozessstart mit geringer Integrität

Windows

Erkennt, ob ein Prozess auf einen niedrigen Integritätslevel eingestellt wurde.