VMware Carbon Black Cloud Endpoint Forøgelse af advarsler om indsættelse af kode ved hjælp af CreateRemoteThread eller NtQueueApcThread
Summary: Denne artikel omhandler et problem i VMware Carbon Black Cloud Endpoint øger advarsler om indsættelse af kode ved hjælp af CreateRemoteThread eller NTQueueApcThread.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Berørte produkter:
- VMware Carbon Black Cloud Endpoint
Berørte versioner:
- v3.7.0.1253
Cause
Efter opgradering eller installation af sensorversion 3.7.0.1253 kan du muligvis se en stigning i observerede advarsler om kodeinjektion ved at kalde funktionerne CreateRemoteThread eller NtQueueApcThread.
Bemærk: I dette eksempel rapporterer VMware Carbon Black Cloud, at svchost.exe har indsat kode i en systemproces csrss.exe.
Resolution
Support undersøger de ændringer, der forårsagede stigningen i observerede advarsler om en permanent løsning.
Du kan roligt afvise de injektionskodeadvarsler , der observeres for funktionerne i CreateRemoteThread eller NtQueueApcThread.
Sådan kontrollerer og afviser du disse advarsler
- Gå til [REGION].conferdeploy.net i en webbrowser.
Bemærk: [REGION] = Lejerens region.
- Amerika = https://defense-prod05.conferdeploy.net
- Europa = https://defense-eu.conferdeploy.net/
- Asien og Stillehavsområdet = https://defense-prodnrt.conferdeploy.net/
- Australien og New Zealand = https://defense-prodsyd.conferdeploy.net
- Amerika = https://defense-prod05.conferdeploy.net
- Log på VMware Carbon Black Cloud.
- Klik på Advarsler i venstre menurude.
- Klik på guleroden for at udvide advarslen.
- Klik på ikonet Undersøg .
- Kontroller, at den funktion, der kaldes, enten er CreateRemoteThread eller NtQueueApcThread.
Bemærk: Hvis der observeres advarsler om injektionskode for andre funktioner end CreateRemoteThread eller NtQueueApcThread, skal du kontakte support for at undersøge yderligere. Se Sådan får du support til VMware Carbon Black Cloud Endpoint. - Udvid den tilsvarende hændelse, og klik på Afvis advarsel.
- Klik på Afvis
Bemærk: Du kan vælge at afvise alle fremtidige forekomster ved at markere feltet ud for Hvis denne advarsel opstår i fremtiden, skal du automatisk afvise den fra alle enheder.
For at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
Gå til TechDirect for at oprette en anmodning om teknisk support online.
Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.
Affected Products
VMware Carbon BlackArticle Properties
Article Number: 000191040
Article Type: Solution
Last Modified: 08 Aug 2024
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.