VMware Carbon Black Cloud Endpoint 使用 CreateRemoteThread 或 NtQueueApcThread 增加代码注入警报
Summary: 本文讨论 VMware Carbon Black Cloud Endpoint 中通过 CreateRemoteThread 或 NTQueueApcThread 增加代码注入警报的问题。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
受影响的产品:
- VMware Carbon Black Cloud Endpoint
受影响的版本:
- v3.7.0.1253
Cause
升级或安装传感器版本 3.7.0.1253 后,在调用 CreateRemoteThread 或 NtQueueApcThread 函数时,观察到的代码注入警报可能会增加。
提醒:在此示例中,VMware Carbon Black Cloud 报告svchost.exe已将代码注入到系统进程csrss.exe中。
Resolution
支持部门正在调查导致观察到的警报增加的更改内容,以提供永久修复方法。
您可以安全地解除针对以下功能观察到的 注入代码 警报: CreateRemoteThread 或 NtQueueApcThread。
验证和解除这些警报
- 在网页浏览器中,转至 [REGION].conferdeploy.net。
提醒:[REGION] = 租户的区域
- 登录到 VMware Carbon Black Cloud。
- 在左侧菜单窗格中,单击 Alerts。
- 单击 carrot 以展开警报。
- 单击 Investigate 图标。
- 验证调用的函数是 CreateRemoteThread 还是 NtQueueApcThread。
提醒:如果观察到除 CreateRemoteThread 或 NtQueueApcThread 之外的任何其他函数的注入代码警报,请联系支持人员进行进一步调查。请参阅如何获得对 VMware Carbon Black Cloud Endpoint 的支持。 - 展开相应的事件,然后单击 Dismiss Alert。
- 单击 Dismiss
提醒:您可以通过选中 如果将来发生此警报,则自动从所有设备消除它旁边的字段,来选择关闭所有将来出现的情况。
要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。
Affected Products
VMware Carbon BlackArticle Properties
Article Number: 000191040
Article Type: Solution
Last Modified: 08 Aug 2024
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.