Dell Endpoint Security Suite Enterprise 和 Dell Threat Defense 的威胁指标是什么?
摘要: 威胁指标是关于 CylanceINFINITY 引擎已分析的对象的观察结果。这些指标可帮助分析人员更好地了解某个文件为何被判定为恶意文件。它们具有易于使用的格式,可快速提供对潜在滥用行为的洞察。
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
症状
提醒:
- 从 2022 年 5 月起,Dell Threat Defense 停止维护。戴尔不再更新本文。有关详细信息,请参阅 Dell Data Security 产品生命周期(结束支持/停售)政策。如果您对其他文章有任何疑问,请联系您的销售团队或联系 endpointsecurity@dell.com。
- 请参阅端点安全性,了解有关当前产品的其他信息。
受影响的产品:
- Dell Endpoint Security Suite Enterprise
- Dell Threat Defense
提醒:
- 列出每个指标都有合法的用途。存在特定指标并不是对象正在执行恶意操作的确凿证据。
- 例如,如果示例是进程调试程序,它可能合法使用 SEDebugPriv 或进程注入。软件安装程序经常在内部捆绑 EXE。
- 这些特定指标在恶意软件中普遍存在,但它们不代表我们用于区分好坏的模型。我们的模型测量数百万个数据点,其中包括这里的部分指标,但定义了它们之间的复杂模式。由于其复杂性,这些模型难以直观呈现,因此我们在威胁指标中提供了一些经过筛选的指标。
原因
不适用
解决方案
类别
威胁指标分组为不同类别,以提供更多上下文信息。类别可帮助确定某些潜在的不良或恶意功能。
指标
每个指示定义恶意软件中经常出现的一个领域。许多指标代表包含的二进制文件的功能。另一些指标则表示欺骗行为。基于对超过 1 亿个二进制文件的深入分析,每个指标都已确定为一项常见且具有指示性的功能。
威胁指标使用的类别包括:(单击标题以显示详细信息)
这些指标表示对象具有不一致或异常的元素。通常是文件的结构元素中的不一致。
| 类别 | 名称 | 描述 |
|---|---|---|
| 异常 | 16bitSubsystem | 此对象使用 Windows 16 位子系统,这是操作系统中安全性较低且受监视较少的部分。此子系统用于在较新的操作系统上运行旧版软件 (MS-DOS);新式软件很少需要它。恶意软件通常利用 16 位子系统来利用子系统中的安全缺陷并获得额外的权限。 |
| 异常 | Anachronism | 编译的可执行文件通常包括一个 4 字节值,表示可执行文件编译的时间和日期。专业编写的软件几乎不会修改此时间戳值;但是,攻击者可能修改此值,以使可执行文件看起来是在未来或过去编译的。提醒:Borland Delphi 对所有编译的可执行文件使用静态值。 |
| 异常 | AppendedData | 此可移植可执行文件 (PE) 包含一些附加到它的额外内容,超出了文件的正常区域。对于合法文件,将数据附加(或添加)到可执行文件使软件公司能够在其程序中添加数据,而无需单独的数据文件。但是,附加数据经常会被用于嵌入恶意代码或数据,并且通常会被保护计算机忽视。 |
| 异常 | Base64Alphabet | 此对象包含使用 Base64 编码的证据。Base64 是一种编码方案,用于将数据表示为 ASCII 文本,通常由 A-Z、a-z、0-9、+ 和 / 组成。恶意软件经常使用 Base64 来避免检测。例如,使用 Base64 将可疑数据 thisisabot 编码为 dGhpc2lzYWJvdA==,可以隐藏此可疑数据。 |
| 异常 | CommandlineArgsImport | 此对象导入可用于从命令行读取参数的功能,恶意软件可以使用它来收集信息。命令行参数是传递给程序的参数,例如打开特定文件或使用值。一些组织甚至可能使用 net use 等命令传递用户名和密码。 |
| 异常 | ManifestMismatch | 此对象的清单中似乎存在不一致,清单是包含有关对象的元数据的文件。此元数据包括与其他组件的任何关系和依赖项与、版本信息和组件所需的安全权限。恶意软件创建者可能会操纵此元数据以避免检测或将合法文件的清单直接复制到其可执行文件中。 |
| 异常 | NontrivialDLLEP | 此对象是具有非平凡(重要)入口点的 DLL。入门点在 DLL 中很常见,但恶意 DLL 可能会使用其入口点将自身置于进程中。入口点是控制权从操作系统切换到程序的地方,此时程序会启动。 |
| 异常 | PossibleBAT | 此对象中有包含标准 Windows 批处理文件的证据。合法程序很少随程序包含批处理脚本。恶意软件创建者经常这样做以避免常见的防病毒扫描技术。某些恶意软件通常使用批处理文件来隐藏文件中的特定操作,例如包含命令以执行另一个命令、启动另一个恶意程序或在执行后删除自身。 |
| 异常 | PossibleDinkumware | 此对象显示包含来自 Dinkumware 的某些组件的证据。各种恶意软件组件中经常使用 Dinkumware;但是,它也具有合法用途,并提供 Microsoft Visual C++ 附带的 C++ 库。 |
| 异常 | RaiseExceptionImports | 此对象导入用于在程序中引发异常的功能。恶意软件这样做以使标准动态代码分析难以进行跟踪。示例:恶意软件可能设计为设置自定义异常处理程序,引发异常,然后检查自定义异常处理程序是否能捕获它。如果未捕获到异常,恶意软件就会知道调试程序可能捕获了异常,并且正在使用调试程序。 |
| 异常 | ResourceAnomaly | 此对象包含资源部分中格式错误的内容或其他异常数据。PE 或 DLL 的资源部分通常包含图标、图像、菜单和字符串。恶意软件创建者可能会在资源部分中嵌入恶意可执行文件、恶意 DLL、模糊数据或其他配置数据。 |
| 异常 | RWXSection | 此对象可能包含可修改的代码,并暗示对象是使用非标准编译器构建的,或者在最初构建之后进行过修改。虽然某些组织可能会使用这些技术创建和使用软件,但这不是行业标准。 |
| 异常 | StringInvalid | 此对象包含无效字符串,这可能是为了干扰分析而试图隐藏可疑字符串或刻意修改对象。示例:无效字符串可能尝试通过稍微更改文件名来隐藏可疑文件。“OKtoUse.dll”和“0KtoUse.dll”看起来很相似,但第二个 DLL 名称中使用的是数字 0,而不是大写字母 O。 |
| 异常 | StringTableNotTerminated | 此对象包含一个格式错误的字符串表。这可能表示文件已损坏或被刻意修改,以避免对象被识别为恶意软件。示例:恶意软件创建者可能会以加密格式存储字符串,以隐藏恶意功能。 |
| 异常 | StringTruncated | 对象似乎缺少一些字符串信息或仅包含部分字符串。这可能表示文件已损坏或被刻意修改,以避免对象被识别为恶意软件。恶意软件创建者可能会对恶意字符串进行编码以避免检测,然后在运行时对这些字符串进行解码。 |
| 异常 | SuspiciousPDataSection | 此对象在 PDATA 区域中隐藏了一些内容,且无法识别。PDATA 部分通常用于处理运行时结构,但此特定对象包含其他内容。 |
| 异常 | SuspiciousRelocSection | 此对象在 RELOCATIONS 区域中隐藏了一些内容,且无法识别。RELOCATIONS 区域通常用于重新安排特定符号的位置,但此特定对象包含其他内容。 |
| 异常 | SymbolInvalid | 此对象包含无效的符号字符串。在编程中,符号是用于命名变量和功能的数据类型。恶意软件这样做是为了隐藏可疑字符串或刻意修改对象,以避免被识别为恶意软件。 |
| 异常 | SymbolTruncated | 此对象似乎缺少一些符号信息。这可能表示文件已损坏或被刻意修改,以避免对象被识别为恶意软件。在编程中,符号是用于命名变量和功能的数据类型。恶意软件可能会使用符号信息隐藏恶意功能的地址,并指定功能名称。 |
| 异常 | VersionAnomaly | 此对象在显示其版本信息方面存在问题。恶意软件通常会对另一个可执行文件的版本信息进行条带化、删除或直接复制,以避免检测。 |
这些指标表示对象具有相关元素,指示收集数据的功能或证据。这可能包括枚举系统配置或收集特定敏感信息。
| 类别 | 名称 | 描述 |
|---|---|---|
| 收集 | BrowserInfoTheft | 此对象可能会尝试读取存储在网页浏览器缓存中的密码。恶意软件执行此操作以收集用户名和密码信息,并发送给恶意软件的创建者。 |
| 收集 | CredentialProvider | 此对象似乎与凭据提供程序交互,或尝试作为凭据提供程序运行。凭据提供程序可以访问许多类型的敏感数据,如用户名和密码。恶意软件尝试与凭据提供程序交互或尝试作为凭据提供程序运行,以获取这些敏感数据。 |
| 收集 | CurrentUserInfoImports | 此对象导入用于收集有关已登录用户的信息的功能。恶意软件使用此信息来确定提升权限的方法以及更好地定制未来攻击。 |
| 收集 | DebugStringImports | 此对象导入用于输出调试字符串的功能。恶意软件作者通常会在恶意软件中留下代码,用于在开发过程中进行调试。相比之下,调试字符串通常处于禁用状态,或者在生产软件中不存在。 |
| 收集 | DiskInfoImports | 此对象导入可用于收集计算机卷的详细信息的功能。大多数商用软件通常不需要完整磁盘信息。攻击者使用枚举此类信息来计划其他攻击。 |
| 收集 | EnumerateFileImports | 此对象导入用于列出文件的功能。恶意软件使用此列表查找敏感数据或查找进一步的攻击点。可从文件列表中找到在设备上安装的程序版本和类型;然后,恶意软件创建者可以尝试在已安装的软件中找到进一步的漏洞。 |
| 收集 | EnumerateModuleImports | 此对象导入可以列出正在运行的进程使用的所有动态链路库 (DLL) 的功能。恶意软件使用它来定位特定库以加载到进程中,以及映射要注入的进程。 |
| 收集 | EnumerateNetwork | 此对象展示枚举连接的网络和网络适配器的功能。网络枚举是指识别可在同一网络上访问的其他计算机。信息包括:用户名、网络共享和服务。恶意软件使用此信息确定目标计算机在网络中与其他计算机相关的位置。恶意软件查找可从网络访问的其他目标计算机。 |
| 收集 | EnumerateProcessImports | 此对象导入可以列出计算机上所有正在运行的进程的功能。恶意软件使用它来查找要注入、模仿或终止的进程。 |
| 收集 | EnumerateVolumeImports | 此对象导入可用于列出计算机卷的功能。此类信息有助于识别相关信息的驻留区域以用于定位,或识别用于传播或部署其他恶意软件的新位置。 |
| 收集 | GinaImports | 此对象导入用于在 Windows XP 和 Windows Server 2003 中访问图形标识和身份验证 (GINA) 组件的功能。恶意软件这样做是为了试图破坏安全的 Ctrl-Alt-Del 密码输入系统或其他网络登录功能。示例:以 GINA 为目标的恶意软件可能会尝试将计算机上使用的用户名和密码写入恶意软件创建者的文件。 |
| 收集 | HostnameSearchImports; | 此对象导入的功能可以收集有关网络上的主机名和受感染计算机本身的主机名的信息。恶意软件使用它来更好地确定进一步的攻击或扫描新目标。示例:知道主机名就可以使用远程访问协议(如远程桌面)提供对其他计算机的访问权限,或提供猜测密码的目标。 |
| 收集 | KeystrokeLogImports | 此对象导入可以捕获和记录键盘击键的功能。恶意软件使用它来捕获和保存击键,以获得用户名和密码等敏感信息。 |
| 收集 | OSInfoImports | 此对象导入用于收集有关当前操作系统的信息的功能。恶意软件使用它来更好地定制进一步的攻击(利用操作系统漏洞)并将信息报告回控制器。 |
| 收集 | PossibleKeylogger | 根据 keylogger-type 活动的证据,此对象似乎是键盘记录器。恶意软件使用键盘记录器从键盘条目收集敏感信息,如密码。 |
| 收集 | PossiblePasswords | 此对象似乎包含常用密码,或者可能支持暴力破解常用密码。恶意软件通过它使用密码访问其他资源,以尝试获得进一步的网络访问权限。 |
| 收集 | ProcessorInfoWMI | 此对象导入可用于确定处理器 (CPU) 的详细信息的功能。恶意软件使用此信息来定制攻击并将收集的数据发送到通用命令和控制 (C&C) 基础架构(泄露数据)。处理器信息的一个示例是 CPU 是否支持 64 位操作系统;64 位操作系统提供的安全措施比 32 位版本多。 |
| 收集 | RDPUsage | 此对象显示与远程桌面协议 (RDP) 交互的证据。恶意软件经常使用它来感染其他计算机,并为受感染的计算机提供直接命令和控制功能。恶意软件可以使用 RDP 来利用其他计算机的共享资源,如网络共享。 |
| 收集 | ShellCommandString | 此对象包含对一个或多个常用实用程序或 shell 命令的引用,这些应用在恶意软件中观察到的频率比在合法软件中观察到的频率要高。例如“netstat”或“tasklist”,可用于枚举更多计算机信息。 |
| 收集 | SystemDirImports | 此对象导入用于查找系统目录的功能。恶意软件执行此操作以查找许多已安装的系统二进制文件所在的位置,因为它经常隐藏在其中。 |
| 收集 | UserEnvInfoImports | 此对象导入用于收集登录用户环境相关信息的功能。恶意软件使用它来确定有关登录用户的详细信息,并寻找可对网络环境进行逻辑猜测的情报。示例:用户名约定和计算机命名约定。 |
这些指标表示对象具有指示数据泄露的功能或证据的元素。这可能包括传出网络连接、以浏览器身份运行或其他网络通信的证据。
| 类别 | 名称 | 描述 |
|---|---|---|
| 数据丢失 | AbnormalNetworkActivity | 此对象实施非标准网络通信方法。恶意软件这样做是为了避免对更常见的网络方法的检测。这种通信类型的示例是通过 CoCreateInstance 功能来使用 COM 接口。 |
| 数据丢失 | BrowserPluginString | 此对象似乎以常用浏览器插件程序框架为目标。恶意软件可能会将自己注册为浏览器插件程序,以在计算机上建立自身,渗透浏览器以监视用户或实施欺诈。 |
| 数据丢失 | ContainsBrowserString | 此对象包含尝试创建自定义 UserAgent 字符串的证据。UserAgent 字符串在 HTTP 通信期间用于标识连接到网站的客户端使用的软件类型。恶意软件通常尝试使用合法 UserAgent 字符串混入,但通常使用较旧或格式错误的 UserAgent 字符串。 |
| 数据丢失 | DownloadFileImports | 此对象导入可将文件下载到计算机的功能。恶意软件通过下载恶意文件来进一步发起攻击,或者可以使用出站 URL 将收集的数据发送给恶意软件创建者。 |
| 数据丢失 | FirewallModifyImports | 此对象导入用于修改本地 Windows 防火墙设置的功能。恶意软件使用此功能在计算机上打开更多端口,并避免在与恶意软件创建者通信时被检测到。 |
| 数据丢失 | HTTPCustomHeaders | 此对象包含创建自定义 HTTP 标头的证据。恶意软件这样做是为了帮助与命令和控制 (C&C) 基础架构进行交互,并避免检测。例如,PlugX 使用“X-Session”、“X-size”和其他自定义标头。 |
| 数据丢失 | IRCCommands | 此对象包含与 Internet 中继聊天 (IRC) 服务器交互的证据。恶意软件通常使用 IRC 与命令和控制 (C&C) 基础架构通信。IRC 支持基于文本的简单聊天环境,并允许人工操作员随时与多个受损计算机交互。 |
| 数据丢失 | MemoryExfiltrationImports | 此对象导入可以从正在运行的进程读取内存的功能。恶意软件使用它来确定插入自身或提取有用信息(例如密码、信用卡数据或其他敏感信息)的适当位置。 |
| 数据丢失 | NetworkOutboundImports | 此对象导入可以将数据发送到本地网络或发送到互联网的功能。恶意软件使用它来传输从计算机收集的信息(泄露数据)或为命令和控制 (C&C) 收集的信息。 |
| 数据丢失 | PipeUsage | 此对象导入允许操纵已命名管道的功能。恶意软件使用它进行通信和传输从计算机收集的信息(泄露数据)。已命名管道用于服务器与客户端之间的通信。任何进程都可以充当服务器和客户端,从而允许将信息发送到受影响的计算机或从受影响的计算机发送信息。 |
| 数据丢失 | RPCUsage | 此对象导入允许其与远程过程调用 (RPC) 基础架构交互的功能。恶意软件使用它来传播自身或传输从计算机收集的信息(泄露数据)。RPC 也可以用作本地网络内的命令和控制方法。 |
| 数据丢失 | SpyString | 此对象以可用于监视计算机用户的功能为目标。 |
这些指标表示对象具有相关元素,指示对象尝试进行欺骗的功能或证据。欺骗的形式包括隐藏部分内容、包含代码以避免检测,或在元数据或其他部分中标记错误。
| 类别 | 名称 | 描述 |
|---|---|---|
| 欺骗 | AntiVM | 此对象可能会尝试确定进程是否在虚拟机中运行。防病毒程序和安全研究人员使用虚拟机运行潜在的恶意文件来查看结果,而不会影响计算机。恶意软件通常会尝试避免在虚拟机中运行以避免检测,或在虚拟机内显示其他行为,从而欺骗研究人员。 |
| 欺骗 | CabinentUsage | 此对象似乎包含 cabinet 文件 (CAB)。恶意软件将敏感组件打包为许多防病毒程序无法扫描的格式。CAB 文件可以使用强加密,并且不需要在计算机上安装任何其他软件。 |
| 欺骗 | ContainsEmbeddedDocument | 此对象包含嵌入在对象中的文档。恶意软件可以使用此方法将攻击传播到多个来源,或以其他方式隐藏其真实形式。示例:对象可能包含一个文档,其中包含打开嵌入的文件被批准时运行的恶意宏。 |
| 欺骗 | CryptoKeys | 此对象可能包含嵌入的加密密钥。恶意软件这样做是为了避免检测或向远程服务提供身份验证。勒索软件可以使用它对本地计算机上的文件进行加密,并存储私钥以解密远程服务器上的数据。 |
| 欺骗 | DebugCheckImports | 此对象导入允许其作为调试程序运行的功能。调试程序用于测试其他软件以检测程序中的问题,其中包括停止正在测试的程序以及更改其运行方式。但是,这些功能也可被用于恶意目的,例如从计算机上运行的其他进程中读取敏感信息,或篡改软件(就像规避版权保护的软件破解工具一样)。 |
| 欺骗 | EmbeddedPE | 此对象内有其他对象,此情况在软件安装程序之外很少发生。恶意软件嵌入这些对象,将其放到磁盘中,然后运行它们。此技术将对象打包为扫描技术不理解且无法检测到的格式,从而避开保护扫描程序。 |
| 欺骗 | EncodedPE | 对象内有其他对象,并对其他对象使用编码方案。这是一种可疑行为。恶意软件将源信息编码为恶意对象了解的方案,从而避开保护扫描软件。 |
| 欺骗 | ExecuteDLL | 对象包含使用常用方法运行 DLL 的功能。恶意软件使用它来避免常见的检测方法。恶意软件已经慢慢转向使用更多 DLL,因为它们更难从进程列表中检测到。 |
| 欺骗 | FakeMicrosoft | 此对象声称 Microsoft 创建了它,但它看起来不像 Microsoft 对象。恶意软件尝试伪装为 Microsoft 对象,以避免检测。 |
| 欺骗 | HTTPCustomUserAgent | 此对象包含操纵浏览器 User-Agent 的证据。恶意软件这样做是为了与命令和控制 (C&C) 基础架构交互,并避免检测。在 HTTP 中,User-Agent 信息可能包含浏览器版本以提供兼容性信息。但是,User-Agent 可以包含任何内容,包括敏感的计算机信息。 |
| 欺骗 | InjectProcessImports | 此对象可以将代码注入其他进程。这表示进程试图具有欺骗性或恶意。恶意软件使用代码注入来安装和运行秘密的恶意对象、中断服务或提升权限。 |
| 欺骗 | InvisibleEXE | 此对象似乎以不可见的方式运行,但它不是后台服务。恶意软件可能会尝试在用户不知道的情况下运行,以隐藏自己。 |
| 欺骗 | MSCertStore | 此对象似乎与核心 Windows 证书存储进行交互。恶意软件这样做是为了收集凭据并插入流氓密钥,以进行中间人攻击。 |
| 欺骗 | MSCryptoImports | 此对象导入使用核心 Windows Crypto Library 的功能。恶意软件使用它来利用本地安装的加密,而不是提供自己的加密。Windows Crypto Library 允许创建加密密钥以及加密或解密数据。 |
| 欺骗 | ProtectionExamination | 此对象似乎在寻找常见保护计算机(如防病毒或防恶意软件程序)。恶意软件这样做是为了启动针对设备上安装的保护系统量身定制的反保护操作。 |
| 欺骗 | SegmentSuspiciousName | 此对象包含具有可疑名称的段。这可能表示文件已进行模糊处理以避免检测,或文件以异常方式生成。段是对象的一部分,包含在程序运行时可用的变量。 |
| 欺骗 | SegmentSuspiciousSize | 此对象包含具有异常大小的分段。这可能表示文件已进行模糊处理以避免检测,或文件以异常方式生成。段是对象的一部分,包含在程序运行时可用的变量。 |
| 欺骗 | SelfExtraction | 此对象似乎是自解压归档。恶意软件使用它来隐藏其真实意图,因为某些防病毒或防恶意软件程序不检测归档(压缩)恶意软件或对归档(压缩)恶意软件进行错误分类。自解压使恶意软件可以解压缩,并且可能运行,而不涉及用户。 |
| 欺骗 | ServiceDLL | 此对象似乎是服务动态链接库 (DLL)。服务 DLL 通常在计算机启动时启动。这为恶意软件提供了持久性。 |
| 欺骗 | TempFileImports | 此对象导入可以访问和操纵临时文件的功能。恶意软件有时会隐藏并可从计算机上的临时文件运行。并非所有防病毒或防恶意软件程序都会扫描临时文件,因此恶意软件会操纵临时文件以避免检测。 |
| 欺骗 | UsesCompression | 此对象的部分代码似乎被压缩。恶意软件这样做是为了避免检测,因为某些防病毒或防恶意软件程序不检测压缩恶意软件或对压缩恶意软件进行错误分类。 |
| 欺骗 | VirtualProtectImports | 此对象导入可以修改正在运行的进程的内存的功能。恶意软件这样做是为了将自己注入正在运行的进程中。恶意软件可能会将某些内容复制到内存(如动态链路库或 DLL),并通过注入进程指示进程运行它。 |
这些指标表示对象具有相关元素,指示破坏的功能或证据。破坏性功能包括删除计算机资源(如文件或目录)的能力。
| 类别 | 名称 | 描述 |
|---|---|---|
| 破坏 | AutorunsPersistence | 此对象尝试与常用的持久性方法交互,这是一种确保对象在计算机上继续存在或运行的方法。持久性示例包括修改注册表以在用户每次登录时运行恶意软件,以及使用 Windows 服务,因为这可提供最高级别的可用特权帐户。 |
| 破坏 | DestructionString | 此对象似乎使用破坏性功能。破坏性功能的示例包括删除文件和终止计算机上运行的进程。 |
| 破坏 | FileDirDeleteImports | 此对象导入可以删除文件或目录的功能。恶意软件通常使用它来破坏计算机和覆盖自己的轨迹。 |
| 破坏 | PossibleLocker | 此对象似乎能够通过策略锁定常用工具。恶意软件这样做是为了保持持久性,并使检测和清理更加困难。 |
| 破坏 | RegistryManipulation | 此对象导入可以操纵 Windows 注册表的功能。恶意软件这样做是为了获得持久性、避免检测、枚举计算机信息等。 |
| 破坏 | SeBackupPrivilege | 此对象可能尝试读取其无权访问的文件。它似乎请求了 SeBackupPrivilege,此权限可使用程序读取文件,无论文件的访问控制列表 (ACL) 安全设置是什么。通常,此权限是为管理用户保留的。 |
| 破坏 | SeDebugPrivilege | 此对象可能尝试篡改系统进程。程序使用 SeDebugPrivilege 访问其他进程,通常仅限管理用户使用。此权限允许开发人员调试服务且无需启用所有管理用户权限,但恶意软件可能会使用此权限篡改可能包含敏感信息的关键和高度特权进程。 |
| 破坏 | SeRestorePrivilege | 此对象可能尝试更改或删除可移植可执行文件 (PE) 无权访问的文件。与 SeBackupPrivilege、SeRestorePrivilege 搭配使用可获取任何文件的所有权以及写入任何文件,无论该文件的访问控制列表 (ACL) 安全设置是什么。 |
| 破坏 | ServiceControlImports | 此对象导入可以控制当前计算机上的 Windows 服务的功能。恶意软件使用它在后台启动自己(通过作为服务安装)或禁用保护计算机的其他服务。 |
| 破坏 | SpawnProcessImports | 此对象导入可用于运行另一个进程的功能。恶意软件使用它来启动感染的后续阶段,通常从互联网下载。 |
| 破坏 | TerminateProcessImports | 此对象导入可用于停止正在运行的进程的功能。恶意软件使用它来尝试删除保护计算机或破坏正在运行的计算机。 |
| 破坏 | UserManagementImports | 此对象导入可用于更改本地计算机上的用户的功能。它可以添加、删除或更改关键用户详细信息。恶意软件可以使用此功能来实现持久性或对本地计算机造成损害。 |
| 破坏 | VirtualAllocImports | 此对象将导入用于在另一个正在运行的进程中请求内存的功能。合法软件使用这些功能扩展程序以添加功能,而恶意软件则使用它们将恶意代码注入正在运行的进程中。 |
不属于上文提到的类别的所有指标
| 类别 | 名称 | 描述 |
|---|---|---|
| 其它 | AutoRunString | 此对象似乎使用一种或多种方法在计算机上建立持久性。示例:当计算机启动或用户登录时,对象将注册自身以运行。 |
| 其它 | CodepageLookupImports | 此对象导入用于查找正在运行的计算机的代码页(位置)的功能。恶意软件使用它来区分计算机在其中运行的国家/地区或区域,以更好地定位特定组。 |
| 其它 | HiddenMachO | 此文件包含一个或多个嵌入式可执行文件。在合法软件中,可执行文件捆绑到程序包、安装程序或磁盘映像中。在恶意软件中,可执行文件存储在资源部分中,或附加到文件末尾。 |
| 其它 | MutexImports | 此对象导入可以创建和操纵互斥 (Mutex) 对象的功能。恶意软件经常使用 mutex 来避免多次感染同一台计算机。恶意软件使用此方法可以不多次感染同一台计算机,以减少导致计算机异常从而导致检测的几率。 |
| 其它 | OpenSSLStatic | 此对象包含编译为保密的 OpenSSL 版本。OpenSSL 是一个加密库,用于安全通信(通常是与 Web 服务器的通信)。恶意软件这样做是为了添加加密功能,同时不显得可疑。 |
| 其它 | PListString | 此对象包含对 .plist 文件的引用。基于 Linux 的计算机和 Mac OS X 计算机使用 Plist 文件。如果安装了 OS X 软件(如 iTunes),则 Windows 计算机上也可能会显示 Plist 文件。Plist 文件通常包含软件程序的首选项。恶意软件通常以应用程序的 .plist 文件为目标,以非法携带或渗透。 |
| 其它 | PrivEscalationCryptBase | 此对象显示尝试使用 CryptBase 进行特定权限提升的证据。受信任的 sysprep.exe 二进制文件会加载同一本地目录中名称为 Crytpbase.dll 的任何 DLL。如果替换为恶意文件,此技术可用于将用户权限提升为管理员并且不通知用户,即不显示用户帐户控制 (UAC) 消息。恶意软件使用此功能可以在受影响的计算机上获得更多权限。 |
| 其它 | SystemCallSuspicious | 此对象包含对合法软件通常不使用的计算机功能的引用。软件程序使用系统调用来使用操作系统中可用的服务。示例:访问硬件(如硬盘)、创建和运行进程,以及与内核(任何操作系统的重要组成部分)通信。 |
要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。
其他信息
视频
受影响的产品
Dell Threat Defense文章属性
文章编号: 000124800
文章类型: Solution
上次修改时间: 19 4月 2026
版本: 9
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。