Gilt für: WatchGuard Advanced EPDRWatchGuard EPDR, WatchGuard EDR, WatchGuard EPPWatchGuard EDR Core
Die Tabelle Exploit-Aktivität zeigt die erkannte Exploit-Technik sowie den Namen des kompromittierten Programms.
Dies sind die verschiedenen überwachten Techniken:
Exploit/Metasploit
Das Metasploit Framework ist eine Test-Plattform, mithilfe der Benutzer Exploit-Code erstellen, testen und ausführen können. Erkennt WatchGuard Endpoint Security eine Metasploit-Shellcode-Signatur, wird diese als eine Exploit/Metasploit-Exploit-Technik angezeigt.
Exploit/ReflectiveLoader
Reflektive DLL-Injektion nutzt reflektive Programmierung, um eine Bibliothek aus dem Arbeitsspeicher unerkannt in einen Host-Prozess zu laden. Erkennt WatchGuard Endpoint Security das Laden einer reflektiven Programmdatei (beispielsweise Metasploit oder Cobalt Strike), wird dies als eine Exploit/ReflectiveLoader Exploit-Technik angezeigt.
Exploit/RemoteAPCInjection
Der asynchrone Prozeduraufruf (Asynchronous Procedure Call, APC) ist ein legitimer Weg, um Code in einem Prozess-Thread auszuführen, der auf Daten wartet, ohne Ressourcen zu verbrauchen. Um prozessbasierte Verteidigungen zu umgehen und möglicherweise Berechtigungen zu erhöhen, können Angreifer die APC-Schlange nutzen, um bösartigen Code in einen Prozess einzuschleusen. Die APC-Injektion führt willkürlichen Code im Adressbereich eines separaten Live-Prozesses aus. Erkennt WatchGuard Endpoint Security eine remote Code-Injektion per APC, wird dies als eine Exploit/RemoteAPCInjection Exploit-Technik angezeigt.
Exploit/DynamicExec
Code-Injektionen kommen vor, wenn Anwendungen die dynamische Ausführung von Code-Anweisungen von nicht vertrauenswürdigen Daten zulassen. Ein Angreifer kann das Verhalten der Zielanwendung beeinflussen und es ändern, um Zugriff auf sensible Daten zu erlangen. Erkennt WatchGuard Endpoint Security die Ausführung von Code in Seiten ohne Ausführungsberechtigungen (nur 32-Bit), wird dies als eine Exploit/DynamicExec Exploit-Technik angezeigt.
Exploit/HookBypass
Hooking bezieht sich auf das Abfangen von Funktionsaufrufen, Systemereignissen oder Meldungen. Die dafür integrierten bzw. eingeschobenen Codeschnipsel werden Hooks genannt. WatchGuard Endpoint Security-Produkte verwenden Hooks, um Ereignisse im Betriebssystem zu überwachen. Erkennt WatchGuard Endpoint Security einen Hook-Bypass in einer laufenden Funktion, wird dies als eine Exploit/HookBypass Exploit-Technik angezeigt.
Exploit/ShellcodeBehavior
Shellcode ist ein kleines Stück Maschinencode, das als Payload (Nutzdaten) beim Ausnutzen einer Software-Schwachstelle verwendet wird. Exploits schleusen normalerweise vor dem oder beim Ausnutzen einer Schwachstelle einen Shellcode in den Zielprozess ein. Erkennt WatchGuard Endpoint Security die Ausführung von Code auf MEM_PRIVATE Seiten, das nicht einer Portable Executable (PE) entspricht, wird dies als eine ShellcodeBehavior Exploit-Technik angezeigt.
Exploit/ROP1
Return-oriented Programming (rücksprungorientierte Programmierung, ROP) ist eine Exploit-Technik, die es Angreifern erlaubt, den Aufrufstapel (Call Stack) und den Steuerfluss (Control Flow) des Programms zu kontrollieren. Der Angreifer führt dann Maschinenanweisungssequenzen aus, die bereits im Speicher des Geräts vorhanden sind. Diese Anweisungen enden normalerweise mit einer Return-Anweisung und befinden sich in einer Subroutine innerhalb eines bestehenden Programms oder einem gemeinsamen Bibliothekscode. Erkennt WatchGuard Endpoint Security die Ausführung von Speicherverwaltungs-APIs, wenn sich der Stack außerhalb der Thread-Limits befindet, wird dies als eine Exploit/ROP1 Exploit-Technik angezeigt.
Exploit/IE_GodMode
Im Ordner Master Control Panel in Windows (auch als God Mode bekannt) können Sie von einem Ort aus schnell auf administrative Tools, Backup- und Wiederherstellungsoptionen sowie andere wichtige Verwaltungseinstellungen zugreifen. Dazu gehören auch Internet-Optionen. Erkennt WatchGuard Endpoint Security den God Mode in Internet Explorer, wird dies als eine Exploit/IE_GodMode Exploit-Technik angezeigt.
Exploit/RunPE
RunPE ist ein Malware-Typ, der Code in einem legitimen Prozess versteckt. Dies wird manchmal als Hollowing-Technik bezeichnet. Wenn WatchGuard Endpoint Security Process-Hollowing-Techniken oder RunPE erkennt, wird dies als eine Exploit/RunPE Exploit-Technik angezeigt.
Exploit/PsReflectiveLoader1
Hacker nutzen häufig reflektive Programmlader, um sensible Informationen, wie Passwörter und Zugangsdaten, aus dem Systemspeicher abzurufen. Erkennt WatchGuard Endpoint Security einen PowerShell reflektiven Programmlader im Computer, wie mimikatz, wird dies als ein Exploit/PsReflectiveLoader1 angezeigt.
Exploit/PsReflectiveLoader2
Hacker nutzen häufig reflektive Programmlader, um sensible Informationen, wie Passwörter und Zugangsdaten, aus dem Systemspeicher abzurufen. Erkennt WatchGuard Endpoint Security einen PowerShell reflektiven Programmlader wie mimikatz in einem Remote-Computer (nicht auf dem lokalen Computer), wird dies als ein Exploit/PsReflectiveLoader2 angezeigt.
Exploit/NetReflectiveLoader
Hacker nutzen häufig reflektive Programmlader, um sensible Informationen, wie Passwörter und Zugangsdaten, aus dem Systemspeicher abzurufen. Erkennt WatchGuard Endpoint Security einen NET reflektiven Programmlader, wie Assembly.Load, wird dies als eine Exploit/NetReflectiveLoader Exploit-Technik angezeigt.
Exploit/JS2DOT
js2-mode ist ein JavaScript-Bearbeitungsmodus für GNU Emacs (programmierbarer Gratis-Texteditor). Erkennt WatchGuard Endpoint Security eine JS2DOT-Technik, wird dies als eine Exploit-Technik angezeigt.
Exploit/Covenant
Covenant ist eine kollaborative .NET Befehls- und Steuerungsplattform für Cybersicherheitsexperten. Erkennt WatchGuard Endpoint Security das Covenant-Framework, wird dies als eine Exploit-Technik angezeigt.
Exploit/DumpLsass
Widersacher können versuchen, auf die im Prozessspeicher des Local Security Authority Subsystem Service (LSASS) gespeicherten Anmeldedaten zuzugreifen. Erkennt WatchGuard Endpoint Security das Schreiben eines Speicherabbilds (Memory Dump) des LSASS-Prozesses, wird dies als eine Exploit-Technik angezeigt.
Exploit/APC_Exec
Um prozessbasierte Verteidigungen zu umgehen oder Berechtigungen zu erhöhen, können Angreifer versuchen bösartigen Code in Prozesse in der Asynchronen Prozeduraufruf(APC)-Schlange einzuschleusen. Die APC-Injektion ist eine Methode, die beliebigen Code in einem separaten Live-Prozess ausführt. Erkennt WatchGuard Endpoint Security eine lokale Code-Ausführung per APC, wird dies als eine Exploit/APC_Exec Exploit-Technik angezeigt.
Ausschluss der Erkennungen einer Technik für ein spezifisches Programm:
- Wählen Sie auf der Seite Exploit-Erkennung im Abschnitt Aktion für ein spezifisches Programm Nicht erneut erkennen.
