Endpoint do VMware Carbon Black Cloud Aumento de alertas de injeção de código usando CreateRemoteThread ou NtQueueApcThread

Summary: Este artigo discute um problema no VMware Carbon Black Cloud Endpoint aumenta alertas de injeção de código usando CreateRemoteThread ou NTQueueApcThread.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Produtos afetados:

  • VMware Carbon Black Cloud Endpoint

Versões afetadas:

  • v3.7.0.1253

Cause

Depois de fazer upgrade ou instalar a versão 3.7.0.1253 do sensor, você pode ver um aumento nos alertas observados para a injeção de código, solicitando as funções CreateRemoteThread ou NtQueueApcThread.

Exemplo de alerta

Nota: Neste exemplo, o VMware Carbon Black Cloud está relatando que svchost.exe injetou código em um processo do sistema csrss.exe.

Resolution

O suporte está investigando as alterações que causaram o aumento de alertas observados para obter uma correção permanente.

Você pode descartar com segurança os alertas de código de injeção que estão sendo observados para as funções de CreateRemoteThread ou NtQueueApcThread.

Para verificar e descartar esses alertas

  1. Em um navegador da Web, acesse [REGION].conferdeploy.net.
    Nota: [REGION] = região do grupo de usuários
  2. Faça login no VMware Carbon Black Cloud.
    Fazer login
  3. No painel de menu esquerdo, clique em Alerts.
    Alertas
  4. Clique na seta para expandir o alerta.
    Expanda o Alerta
  5. Clique no ícone Investigate.
    Investigate
  6. Verifique se a função que está sendo chamada é CreateRemoteThread ou NtQueueApcThread.
    Verifique a função
    Nota: Se alertas de injeção de código estiverem sendo observados para qualquer outra função além de CreateRemoteThread ou NtQueueApcThread, entre em contato com o suporte para investigar mais. Consulte, Como obter suporte para o VMware Carbon Black Cloud Endpoint.
  7. Expanda o evento correspondente e clique em Dismiss Alert.
    Ignorar alerta
  8. Clique em Dismiss
    Ignorar
    Nota: Você pode optar por descartar todas as ocorrências futuras marcando o campo ao lado de Se esse alerta ocorrer no futuro, descartá-lo automaticamente de todos os dispositivos.

Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000191040
Article Type: Solution
Last Modified: 08 Aug 2024
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.