VMware Carbon Black Cloud Endpoint Zwiększenie liczby alertów o iniekcjach kodu przy użyciu CreateRemoteThread lub NtQueueApcThread

Summary: W tym artykule omówiono problem z VMware Carbon Black Cloud Endpoint zwiększa alerty iniekcji kodu przy użyciu CreateRemoteThread lub NTQueueApcThread.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Dotyczy produktów:

  • VMware Carbon Black Cloud Endpoint

Dotyczy wersji:

  • v3.7.0.1253

Cause

Po uaktualnieniu lub zainstalowaniu czujnika w wersji 3.7.0.1253 może nastąpić wzrost liczby zaobserwowanych alertów dotyczących wprowadzania kodu poprzez wywołanie funkcji CreateRemoteThread lub NtQueueApcThread.

Przykładowy alert

Uwaga: W tym przykładzie VMware Carbon Black Cloud zgłasza, że svchost.exe wstrzyknęła kod do csrss.exe procesu systemowego.

Resolution

Dział pomocy technicznej bada zmiany, które spowodowały wzrost zaobserwowanych alertów, w celu znalezienia trwałej poprawki.

Możesz bezpiecznie odrzucić alerty kodu wstrzyknięcia , które są obserwowane dla funkcji CreateRemoteThread lub NtQueueApcThread.

Aby zweryfikować i odrzucić te alerty

  1. W przeglądarce internetowej przejdź do strony [REGION].conferdeploy.net.
    Uwaga: [REGION] = region najemcy
  2. Zaloguj się do VMware Carbon Black Cloud.
    Logowanie
  3. W okienku po lewej stronie kliknij pozycję Alerts (Alerty).
    Alerty
  4. Kliknij strzałkę, aby rozwinąć alert.
    Rozwiń alert
  5. Kliknij ikonę Investigate (Zbadaj).
    Zbadaj
  6. Sprawdź, czy wywoływana funkcja to CreateRemoteThread lub NtQueueApcThread.
    Weryfikacja funkcji
    Uwaga: Jeśli alerty wstrzyknięcia kodu są obserwowane dla dowolnej innej funkcji innej niż CreateRemoteThread lub NtQueueApcThread, skontaktuj się z pomocą techniczną, aby dokładniej zbadać. Zapoznaj się z tematem Uzyskiwanie pomocy technicznej dla VMware Carbon Black Cloud Endpoint.
  7. Rozwiń odpowiednie zdarzenie i kliknij przycisk Dismiss Alert (Odrzuć alert).
    Odrzuć alert
  8. Kliknij przycisk Dismiss (Odrzuć)
    Odrzuć
    Uwaga: Możesz odrzucić wszystkie przyszłe wystąpienia, zaznaczając pole obok pozycji Jeśli ten alert wystąpi w przyszłości, automatycznie odrzuć go ze wszystkich urządzeń.

Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000191040
Article Type: Solution
Last Modified: 08 Aug 2024
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.