Stratégie de terminal : paramètres de protection de la mémoire

Les paramètres de protection de la mémoire spécifient la manière dont l'agent gère les failles de mémoire, y compris les escalades et les injections de processus. Ajoutez des exclusions pour les fichiers exécutables ou macros que vous souhaitez autoriser à exécuter.

Paramètre

Description

Protection de la mémoire

Lorsque cette option est activée, l'agent Aurora Protect Desktop détecte différents types d'appels de processus qui peuvent constituer une menace et gère chaque type en fonction des options que vous configurez.

Les tableaux des types de violation ci-dessous fournissent plus d'informations sur chaque type de violation. Pour chaque type de violation, vous pouvez configurer l'agent pour qu'il réponde en procédant de l'une des manières suivantes :
  • Ignorer : l'agent n'effectue aucune action.
  • Alerter : l'agent consigne la violation et signale l'incident à la console de gestion.
  • Bloquer : l'agent consigne la violation, signale l'incident à la console de gestion et bloque l'appel de traitement. L'application qui a passé l'appel est autorisée à s'exécuter.
  • Terminer : l'agent consigne la violation, signale l'incident à la console de gestion, bloque l'appel de traitement et met fin à l'application qui a effectué l'appel.

Exclure les fichiers exécutables ou macros : Ajouter une exclusion

Vous pouvez spécifier le chemin d'accès relatif des fichiers que vous souhaitez que l'agent Aurora Protect Desktop ignore lorsqu'il tente de détecter les menaces de protection de la mémoire. Lorsque vous ajoutez un fichier à la liste d'exclusion, vous autorisez l'installation et l'exécution du fichier sur les terminaux auxquels la règle est affectée.

Lorsque vous ajoutez une exclusion, vous spécifiez le chemin d'accès relatif du fichier et les types de violation que vous souhaitez ignorer. Sous Windows, vous pouvez également spécifier le chemin d'accès absolu au fichier. Utilisez les chemins relatifs raccourcis avec précaution, car ils peuvent exclure d'autres exécutables qui ont le même chemin relatif.

Après avoir appliqué l'exclusion, toutes les instances de ce processus doivent être terminées pour empêcher le pilote de s'y injecter.

Remarque : Si vous enregistrez une exclusion sans ajouter au moins un type de violation à ignorer, l'exclusion est appliquée aux événements de protection de la mémoire et de contrôle de script. L'ajout d'au moins un type de violation à ignorer signifie que l'exclusion est appliquée à la protection de la mémoire uniquement.
Exemples sous Windows :
  • Chemin relatif : \Application\Subfolder\application.exe
  • Chemin absolu : C:\Application\Subfolder\application.exe
Exemples sous Linux :
  • Chemin relatif : /opt/application/executable
  • Chemin relatif des fichiers de bibliothèque dynamique : /executable.dylib
Exemples sous macOS :
  • Chemin relatif sans espaces : /Applications/SampleApplication.app/Contents/MacOS/Executable
  • Chemin relatif avec espaces : /Applications/Sample Application.app/Contents/MacOS/executable
  • Chemin relatif des fichiers de bibliothèque dynamique : /executable.dylib
  • Vous pouvez également utiliser des caractères génériques pour les exclusions de protection de la mémoire. Pour plus d'informations, reportez-vous à la section Caractères génériques dans les exclusions de protection de la mémoire.

Reportez-vous aux détails ci-dessous pour savoir comment utiliser des caractères génériques pour les exclusions de fichier exécutable ou de macro.

Ajouter une exclusion : Exclusion Traiter en tant que DLL

Activez ce paramètre lorsque vous souhaitez ajouter une exclusion pour une DLL tierce. Par exemple, si vous exécutez des produits de sécurité tiers outre Aurora Protect Desktop pour Windows, vous pouvez ajouter une exclusion aux fichiers .dll appropriés afin que Aurora Protect ignore les violations spécifiques de ces produits.

Cette fonctionnalité prend uniquement en charge les types de violation Charge utile malveillante et Écrasement de la DLL système. Ces types de violation sont pris en charge pour les terminaux Windows uniquement.

Tenez compte de ces informations lorsque vous spécifiez une exclusion de DLL :
  • Les terminaux doivent exécuter l'agent Aurora Protect Desktop pour Windows 3.1.1001 ou version ultérieure.
  • Le chemin d'accès au fichier que vous spécifiez doit correspondre au chemin complet et direct vers le fichier .dll. Les caractères génériques ne sont pas autorisés.
  • Le fichier .dll doit être signé à l'aide d'un certificat approuvé sur le terminal, sinon il ne sera pas exclu.
  • Pour en savoir plus sur la prise en charge des exclusions de DLL, consultez l'article KB 42221199112091.

Ajouter une exclusion : Ignorer des types de violation spécifiques

Activez ce paramètre lorsque vous ajoutez une exclusion de protection de la mémoire pour sélectionner les catégories de violation et les types de violation spécifiques que l'agent Aurora Protect Desktop doit ignorer.

Lorsque vous ajoutez des exclusions, si vous souhaitez que la stratégie s'applique uniquement aux violations de protection de la mémoire et non aux violations de contrôle de script, spécifiez au moins un type de violation que vous souhaitez ignorer. Si vous ne sélectionnez aucun type de violation à ignorer, un message d'avertissement s'affiche et l'exclusion s'applique à la fois aux stratégies de protection de la mémoire et de contrôle des scripts.

Utilisation de caractères génériques pour les exclusions d'exécutables ou de macros

Tenez compte des éléments suivants concernant l'utilisation de caractères spéciaux et de caractères génériques (*) dans les exclusions de protection de la mémoire :
  • Les exclusions de protection de la mémoire peuvent inclure les caractères spéciaux suivants : ^ & ' @ { } [ ] , $ = ! - # ( ) % . + ~ _ *
  • Sur les terminaux Windows, toute valeur de lettre suivie de deux points (par exemple, C:) est prise en charge.
  • L'échappement d'un astérisque (*) n'est pas pris en charge. Par exemple, vous ne pouvez pas l'utiliser pour exclure un fichier qui contient un astérisque dans son nom de fichier.
  • Lors de l'ajout d'exclusions DLL, les caractères génériques ne sont pas autorisés.
  • Un caractère générique * correspond à zéro ou plusieurs caractères, à l'exception des séparateurs de chemin d'accès aux fichiers spécifiques à la plateforme. Les séparateurs de chemin de fichier sont « \ » sur les terminaux Windows et « / » sur Linux et macOS.
  • Un caractère générique ** correspond à zéro ou plusieurs répertoires dans un chemin absolu pour exclure des lecteurs, des répertoires et des répertoires enfants. Par exemple, C:\MyApp\''\**\''.
    • Utilisez toujours ** avec les séparateurs de chemin de fichier, comme \**\ ou /**/
    • Le schéma **\ est valide s'il se trouve au début du schéma pour les terminaux Windows uniquement. Il correspond à tous les répertoires de tous les lecteurs.
    • Vous pouvez utilisez \**\ ou /**/ plusieurs fois dans un chemin sans limitation.
    • Évitez d'utiliser ** immédiatement après une lettre de lecteur ou au début d'une exclusion. Par exemple, C:\**\program.exe sur Windows ou /**/program.dmg sur macOS, car cela exclurait tout élément dans n'importe quel répertoire ou répertoire enfant sur le lecteur.
  • Pour obtenir des exemples illustrant l'utilisation des caractères génériques dans les exclusions de protection de la mémoire, reportez-vous aux sections Exemples de caractères génériques Windows utilisés dans les exclusions de protection de la mémoire et macOS Exemples de caractères génériques Windows utilisés dans les exclusions de protection de la mémoire.
  • Trois astérisques (***) ne sont pas valides pour les exclusions car ils masqueraient les fautes de frappe. Par exemple, dans le modèle C:\***.exe, les utilisateurs auraient peut-être voulu saisir C:\**\*.exe mais ont oublié de saisir un \. Si « *** » était traité comme un seul « * », cela pourrait entraîner un comportement différent de celui prévu.

Types de violation par exploitation

Type de violation

Système d'exploitation pris en charge

Description

Pivot de pile

Windows

Linux

Détecte si la pile d'un thread a été remplacée par une pile différente. En général, le système alloue une seule pile pour un thread. Un utilisateur malveillant pourrait utiliser une pile différente pour contrôler l'exécution en évitant le blocage de la stratégie de prévention de l'exécution des données.

Protection de pile

Windows

Linux

Détecte si la protection de la mémoire d'une pile de thread a été modifiée pour activer l'autorisation d'exécution. La mémoire de la pile ne doit pas être exécutable ; en général, cela peut signifier qu'un utilisateur malveillant prépare l'exécution de code malveillant stocké dans la mémoire de la pile en vue d'une exploitation, tentative qui serait normalement bloquée par la prévention de l'exécution des données.

Écraser le code

Windows

Détecte si le code résidant dans la mémoire d'un processus a été modifié à l'aide d'une technique qui peut indiquer une tentative de contournement de la stratégie de prévention de l'exécution des données.

Extraction de RAM

Windows

Détecte si un processus tente de lire des données de piste à bande magnétique valides à partir d'un autre processus. En général, cette violation est associée aux systèmes de point de vente (PDV).

Charge utile malveillante

Windows

Détecte le shellcode et les charges utiles associés à l'exploitation.

Ce type de violation prend en charge les exclusions DLL.

Surveillance des appels système

Windows

Détecte les appels systèmes effectués vers une application ou un système d'exploitation.

Appels système directs

Windows

Détecte les tentatives d'injection silencieuse de code malveillant dans d'autres processus. Ce type de violation ne peut pas être bloqué.

Écrasement de la DLL système

Windows

Détecte les tentatives d'écrasement d'une DLL système.

Ce type de violation prend en charge les exclusions DLL.

Objet COM dangereux

Windows

Détecte un code malveillant référençant un objet COM (Component Object Model).

Injection via APC

Windows

Détecte si un processus injecte un code arbitraire dans un processus cible en utilisant un appel de procédure asynchrone (APC) ou démarre un thread distant pour appeler LoadLibrary, ou une fonction similaire.

Si l'action est définie sur Alerte, vous pouvez vous attendre à voir des alertes pour les injections valides et malveillantes. L'alerte signale l'application qui a reçu l'injection, mais vous devez déterminer la source exécutable à l'origine de l'alerte. Pour plus d'informations, consultez l'article KB 42221135706139.

Si l'action est définie sur Bloquer ou Terminer, elle empêche l'exécution des applications signalées sur le terminal, même si elles sont valides.

Macro VBA dangereuse

Windows

Détecte les macros contenant des implémentations dangereuses. Protège les terminaux exécutant l'agent 2.1.1580 et versions ultérieures. Toutes les exclusions de protection de la mémoire sont prises en charge par l'agent 3.0 et versions ultérieures.

Types de violation par injection de processus

Type de violation

Système d'exploitation pris en charge

Description

Allocation à distance de mémoire

Windows

macOS

Détecte si un processus alloue de la mémoire dans un autre processus. La plupart des allocations se produisent uniquement dans un seul processus. Cela peut indiquer une tentative d'injection de code ou de données dans un autre processus, pour renforcer une présence malveillante sur un système.

Mappage à distance de la mémoire

macOS

Détecte si un processus introduit du code ou des données dans un autre processus. Cela peut indiquer une tentative d'exécution du code dans un autre processus pour renforcer une présence malveillante.

Écriture à distance dans la mémoire

Windows

macOS

Détecte si un processus a modifié la mémoire dans un autre processus. Il peut s'agir d'une tentative de stockage de code ou de données dans la mémoire précédemment allouée, mais il est possible qu'un utilisateur malveillant tente d'écraser la mémoire existante pour détourner l'exécution à des fins malveillantes.

Écriture à distance de PE dans la mémoire

Windows

Détecte si un processus a modifié la mémoire dans un autre processus pour contenir une image exécutable. Cela peut indiquer qu'un utilisateur malveillant tente d'exécuter du code sans l'écrire sur le disque au préalable.

Écrasement du code à distance

Windows

Détecte si un processus a modifié la mémoire exécutable dans un autre processus. Dans des conditions normales, la mémoire exécutable n'est pas modifiée, notamment par un autre processus. Cela peut indiquer une tentative de déviation d'une exécution vers un autre processus.

Annulation du mappage à distance de la mémoire

Windows

macOS

Détecte si un processus a supprimé un exécutable de la mémoire d'un autre processus. Cela peut indiquer une tentative de remplacement de l'image exécutable par une copie modifiée afin d'en détourner l'exécution.

Création de thread à distance

Windows

Détecte si un processus a créé un nouveau thread dans un autre processus. En général, les threads sont uniquement créés par un même processus. Un utilisateur malveillant peut utiliser cette méthode pour activer une présence malveillante qui a été injectée dans un autre processus.

Planification APC à distance

Windows

Détecte si un processus a dévié l'exécution du thread d'un autre processus. Un utilisateur malveillant peut utiliser cette méthode pour activer une présence malveillante qui a été injectée dans un autre processus.

Injection de DYLD

Linux

Détecte si une variable d'environnement a été définie pour entrainer l'injection d'une bibliothèque partagée dans un processus lancé. Les attaques peuvent modifier la liste d'applications ou remplacer des applications par des scripts bash, ce qui autorise le chargement automatique de leurs modules lors du démarrage d'une application.

Typosquattage

Windows

Détecte si un nouveau processus malveillant a été lancé à partir d'un fichier non encore écrit dans le système de fichiers. La transaction d'écriture de fichier est généralement annulée après le démarrage du processus (de sorte que le fichier malveillant ne soit jamais validé sur le disque) et toute tentative d'analyse du fichier sur le disque obtiendra uniquement un fichier inoffensif non modifié.

Variable d'environnement dangereuse

Windows

Détecte une variable d'environnement potentiellement associée à un programme malveillant.

Types de violation par escalade

Type de violation

Système d'exploitation pris en charge

Description

Lecture LSASS

Windows

Détecte si la mémoire appartenant au processus d'autorité de sécurité locale de Windows a fait l'objet d'un accès indiquant une tentative d'obtention des mots de passe des utilisateurs.

Attribution nulle

Windows

Détecte si une page nulle a été affectée. La zone de mémoire est généralement réservée, mais dans certaines circonstances, elle peut être allouée. Les utilisateurs malveillants peuvent l'utiliser pour configurer l'escalade des privilèges en profitant d'un exploit de référence nulle connu, généralement dans le kernel.

Modifications des autorisations de mémoire dans d'autres processus

Windows

Détecte si un processus en violation a modifié les autorisations d'accès à la mémoire dans un autre processus. L'objectif est généralement d'injecter du code dans un autre processus et de rendre la mémoire exécutable en modifiant les autorisations d'accès.

Modifications des autorisations de mémoire dans des processus enfants

Windows

Détecte si un processus en violation a créé un processus enfant et a modifié les autorisations d'accès à la mémoire dans celui-ci.

Jeton système volé

Windows

Détecte si un jeton d'accès a été modifié pour permettre à un utilisateur de contourner les contrôles d'accès de sécurité.

Début du processus à faible intégrité

Windows

Détecte si un processus a été configuré pour s'exécuter avec un niveau d'intégrité faible.