VMware Carbon Black Cloud Endpoint: toename van waarschuwingen voor code-injectie met behulp van CreateRemoteThread of NtQueueApcThread

Summary: In dit artikel wordt een probleem besproken in VMware Carbon Black Cloud Endpoint verhoogt waarschuwingen voor code-injectie met behulp van CreateRemoteThread of NTQueueApcThread.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Betreffende producten:

  • VMware Carbon Black Cloud Endpoint

Betreffende versies:

  • v3.7.0.1253

Cause

Na het upgraden of installeren van sensorversie 3.7.0.1253 ziet u mogelijk een toename van de waargenomen waarschuwingen voor code-injectie door de functies CreateRemoteThread of NtQueueApcThread aan te roepen.

Voorbeeldmelding

Opmerking: In dit voorbeeld meldt VMware Carbon Black Cloud dat svchost.exe code heeft geïnjecteerd in een systeemproces csrss.exe.

Resolution

Support onderzoekt de wijzigingen die de toename van waargenomen waarschuwingen hebben veroorzaakt voor een permanente oplossing.

U kunt de waarschuwingen over de injectiecode die worden waargenomen voor de functies van CreateRemoteThread of NtQueueApcThreadte installeren.

Om deze waarschuwingen te verifiëren en te negeren

  1. Ga in een webbrowser naar [REGIO].conferdeploy.net.
    Opmerking: [REGION] = regio van de tenant
  2. Meld u aan bij de VMware Carbon Black Cloud.
    Inloggen
  3. Klik in het linkermenuvenster op Meldingen.
    Waarschuwingen
  4. Klik op de wortel om de melding uit te vouwen.
    Vouw de waarschuwing uit
  5. Klik op het pictogram Onderzoeken .
    Onderzoeken
  6. Controleer of de functie die wordt aangeroepen CreateRemoteThread of NtQueueApcThread is.
    Functie verifiëren
    Opmerking: Als waarschuwingen voor injecteringscodes worden waargenomen voor een andere functie dan CreateRemoteThread of NtQueueApcThread, neem dan contact op met support om dit verder te onderzoeken. Raadpleeg Support krijgen voor VMware Carbon Black Cloud Endpoint.
  7. Vouw de bijbehorende gebeurtenis uit en klik op Melding negeren.
    Melding negeren
  8. Klik op Negeren
    Ontslaan
    Opmerking: U kunt ervoor kiezen om alle toekomstige voorvallen te negeren door het veld naast Als deze waarschuwing in de toekomst optreedt, deze automatisch vanaf alle apparaten te sluiten.

Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
Ga naar TechDirect om online een aanvraag voor technische support te genereren.
Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000191040
Article Type: Solution
Last Modified: 08 Aug 2024
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.