VMware Carbon Black Cloud Endpoint Økning av kodeinnsprøytningsvarsler ved hjelp av CreateRemoteThread eller NtQueueApcThread
Summary: Denne artikkelen omhandler et problem i VMware Carbon Black Cloud Endpoint øker kodeinnsprøytingsvarsler ved hjelp av CreateRemoteThread eller NTQueueApcThread.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Berørte produkter:
- Sluttpunkt for VMware Carbon Black Cloud
Berørte versjoner:
- v3.7.0.1253
Cause
Etter at du har oppgradert eller installert sensorversjon 3.7.0.1253, kan du se en økning i observerte varsler for kodeinjeksjon ved å ringe etter funksjonene CreateRemoteThread eller NtQueueApcThread.
Merk: I dette eksempelet rapporterer VMware Carbon Black Cloud at svchost.exe har injisert kode i en systemprosess csrss.exe.
Resolution
Kundestøtte undersøker endringene som forårsaket økningen av observerte varsler for en permanent løsning.
Du kan trygt avvise injeksjonskodevarslene som observeres for funksjonene til CreateRemoteThread eller NtQueueApcThread.
Slik kontrollerer og avviser du disse varslene:
- Gå til [REGION].conferdeploy.net i en nettleser.
Merk: [REGION] = regionen til leietakeren
- Amerika = https://defense-prod05.conferdeploy.net/
- Europa = https://defense-eu.conferdeploy.net/
- Asia, Stillehavskysten = https://defense-prodnrt.conferdeploy.net/
- Australia og New Zealand = https://defense-prodsyd.conferdeploy.net
- Amerika = https://defense-prod05.conferdeploy.net/
- Logg på VMware Carbon Black Cloud.
- I den venstre menyruten klikker du på Varsler.
- Klikk på gulrot for å utvide varselet.
- Klikk på Undersøk-ikonet .
- Kontroller at funksjonen som kalles, er enten CreateRemoteThread eller NtQueueApcThread.
Merk: Hvis det observeres varsler om injeksjonskode for en annen funksjon i tillegg til CreateRemoteThread eller NtQueueApcThread, kan du kontakte kundestøtte for å undersøke nærmere. Se Slik får du støtte for VMware Carbon Black Cloud Endpoint. - Utvid den tilsvarende hendelsen, og klikk på Avvis varsel.
- Klikk på Avvis
Merk: Du kan velge å avvise alle fremtidige hendelser ved å merke av i feltet ved siden av Hvis dette varselet oppstår i fremtiden, må du automatisk avvise det fra alle enheter.
Når du skal kontakte kundestøtte, kan du se Dell Data Security internasjonale telefonnumre for støtte..
Gå til TechDirect for å generere en forespørsel om teknisk støtte på Internett.
Hvis du vil ha mer innsikt og flere ressurser, kan du bli med i fellesskapsforumet for Dell Security.
Affected Products
VMware Carbon BlackArticle Properties
Article Number: 000191040
Article Type: Solution
Last Modified: 08 Aug 2024
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.