Dell Endpoint Security Suite Enterprise 和 Dell Threat Defense 中的威脅指示器是什麼?
摘要: 威脅指示器是針對 CylanceINFINITY 引擎分析之物件的觀察結果。這些指標可協助分析人員更清楚瞭解判斷檔案有問題的原因。它們以快速且便於使用的格式,提供潛在濫用行為的深入資訊。
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
注意:
- 截至 2022 年 5 月,Dell Threat Defense 已達到其維護結束時間。Dell 已不再更新本文。如需更多資訊,請參閱 Dell Data Security 的產品生命週期 (支援結束/壽命結束) 原則。如果您對其他文章有任何問題,請聯絡您的銷售團隊或聯絡 endpointsecurity@dell.com。
- 請參考端點安全性,以取得有關目前產品的其他資訊。
受影響的產品:
- Dell Endpoint Security Suite Enterprise
- Dell Threat Defense
注意:
- 每個識別指標都有合理的用途。存在特定指標並無法證明某個物件正在進行惡意行為。
- 例如,如果範例是程序偵錯,則 SEDebugPriv 或程序注入的使用便屬合理。軟體安裝程式經常會在其中封裝 EXE。
- 這些指標在識別惡意軟體程式碼中十分實用,但並不是我們用來分類物件好壞的模型。我們的模型衡量數百萬個資料點,其中包含了一些資料點,但同時亦定義了各個資料點的複雜模式。這些模型由於複雜性而難以視覺化,因此透過威脅指示器提供了某些特定指標。
原因
不適用
解析度
類別
威脅指示器分組為不同類別,以協助提供背景關係。類別有助於識別特定的潛在不良或惡意功能。
指標
每個指標都會定義經常出現在惡意軟體中的區域。其中許多代表包含的二進位功能。其他代表詐騙嘗試。根據對超過 1 億個二進位檔案的深度分析,每一項指示內容都識別常見且具指標性的功能。
威脅指示器所使用的類別如下:(按一下標題以顯示詳細資料)
這些指標代表物件在某些情況下具有不一致或異常元素的情況。這些通常與檔案中的結構化元素不一致。
| 類別 | 名稱 | 說明 |
|---|---|---|
| 異常 | 16bitSubsystem | 此物件使用 Windows 16 位元子系統,這是作業系統中安全性較低,且受監控較少的部分。此子系統的目的是在較新的作業系統上執行較舊的軟體 (MS-DOS),很少現代軟體有此需要。惡意軟體通常會利用 16 位元子系統,以運用子系統中的安全性缺陷,並取得額外的許可權。 |
| 異常 | Anachronism | 編譯的可執行檔通常包含 4 位元組的值,代表可執行檔編譯的時間和日期。專業撰寫的軟體幾乎無須修改此時間戳記值,但攻擊者可以修改此值,使可執行檔看起來是在未來或過去編譯。注意:Borland Delphi 為所有編譯的可執行檔使用靜態值。 |
| 異常 | AppendedData | 這個可攜式可執行檔 (PE) 檔案有一些額外的內容附加在其中,超出檔案的一般區域。在合法的檔案中,將資料附加 (或新增) 至可執行檔可讓軟體公司將資料納入其程式,而不需要增加單獨的資料檔案。但是附加的資料經常會用來內嵌惡意程式碼或資料,而且受到保護的電腦經常會忽略其內容。 |
| 異常 | Base64Alphabet | 此物件包含使用 Base64 編碼的證據。Base64 是一種編碼方式,用來以 ASCII 文字表示資料,通常包含 A-Z、a-z、0-9、+和 /。惡意軟體通常會使用 Base64 來避免偵測。例如,使用 Base64 可將 thisisabot 加密編碼為 dGhpc2lzYWJvdA==。 |
| 異常 | CommandlineArgsImport | 此物件匯入的功能可用於從命令列讀取引數,惡意程式碼可使用此功能來收集資訊。命令列引數是傳遞至程式的參數,例如開啟特定檔案或使用值等。某些組織甚至可能會使用類似 net use 的命令來傳遞使用者名稱和密碼。 |
| 異常 | ManifestMismatch | 此物件的資訊清單中似乎有不一致之處,資訊清單是包含物件中繼資料的檔案。中繼資料包含與其他元件的關係與相依性、版本資訊,以及組件所需的安全性許可權。惡意軟體建立者可能會控制此中繼資料以避免偵測,或將合法檔案的資訊清單直接複製到可執行檔中。 |
| 異常 | NontrivialDLLEP | 此物件為 DLL,具有非顯然性 (嚴重) 的進入點。進入點在 DLL 間很常見,但惡意 DLL 可能會使用其進入點,將其自行置入程式中。進入點是指從作業系統對程式進行的控制,屆時程式即會啟動。 |
| 異常 | PossibleBAT | 此物件包含具有標準 Windows 批次檔案的證據。合法程式鮮少有理由在程式中加入批次指令檔。惡意軟體建立者經常會這麼做,以避開常見的防毒掃描技術。一些惡意軟體經常會在檔案中使用批次檔案以隱藏特定動作,例如包含執行其他命令的命令、啟動其他惡意程式,或在執行後自行刪除等。 |
| 異常 | PossibleDinkumware | 此物件具有包含某些 Dinkumware 元件的證據。Dinkumware 經常用於各種惡意軟體元件,但它也具有合理的用途,並提供隨附於 Microsoft Visual C++ 的 C++ 程式庫。 |
| 異常 | RaiseExceptionImports | 此物件匯入的功能可用於在程式中提出例外狀況。惡意軟體會使用此功能,使標準動態代碼分析變得難以遵循。範例:惡意軟體的設計可能會製造一個自訂例外處理常式、提出例外狀況,然後檢查自訂例外處理常式是否會處理該狀況。如果發現處理常式不會捕捉到例外情況,惡意軟體便能得知系統正在使用偵錯程式,且偵錯程式已發現該例外情況。 |
| 異常 | ResourceAnomaly | 此物件的資源區段中包含錯誤的內容或其他異常資料。PE 或 DLL 的資源區段通常包含圖示、影像、功能表和字串。惡意軟體建立者可能會在資源區段中嵌入惡意的可執行檔、惡意 DLL、混淆的資料或其他組態資料。 |
| 異常 | RWXSection | 此物件可能包含可修改的程式碼,代表物件可能是使用非標準編譯器建立,或在最初建立後經過修改。雖然有些組織可能會使用這些技術來建立和使用建置軟體,但這並不是業界標準。 |
| 異常 | StringInvalid | 物件包含無效字串,可能是試圖隱藏可疑字串或製造物件,以干擾分析。範例:無效字串可能會嘗試稍微變更檔案名稱,以隱藏可疑檔案。「OKtoUse.dll」和「0KtoUse.dll」看起來十分類似,但第二個 DLL 名稱是使用數字 0 而不是大寫 O。 |
| 異常 | StringTableNotTerminated | 此物件包含錯誤的字串表格。這可能表示檔案已損毀,或是為了干擾將物件識別為惡意軟體而製造的檔案。範例:惡意軟體建立者可能會以加密格式儲存字串,以隱藏惡意功能。 |
| 異常 | StringTruncated | 物件似乎缺少一些字串資訊,或僅包含部分字串。這可能表示檔案已損毀,或是為了干擾將物件識別為惡意軟體而製造的檔案。惡意軟體建立者可能會將惡意字串進行編碼以避免偵測,然後在執行時解譯那些字串。 |
| 異常 | SuspiciousPDataSection | 此物件隱藏在 PDATA 區域中,無法識別。PDATA 區段通常用於處理執行階段結構,但此特定物件包含其他內容。 |
| 異常 | SuspiciousRelocSection | 此物件隱藏在 RELOCATIONS 區域中,無法識別。RELOCATIONS 通常用於重新放置特定符號,但此特定物件包含其他內容。 |
| 異常 | SymbolInvalid | 此物件包含無效的符號字串。在程式設計中,符號是用來命名變數和功能的資料類型。惡意軟體這麼做是為了隱藏可疑字串,或製作物件來干擾識別為惡意軟體。 |
| 異常 | SymbolTruncated | 此物件似乎缺少一些符號資訊。這可能表示檔案已損毀,或是為了干擾將物件識別為惡意軟體而製造的檔案。在程式設計中,符號是用來命名變數和功能的資料類型。惡意軟體可能會使用符號資訊隱藏惡意功能的位址,並將其改為指定的功能名稱。 |
| 異常 | VersionAnomaly | 此物件與其版本資訊的呈現方式出現問題。惡意軟體通常會刪除、移除或直接複製另一個可執行檔的版本資訊,以避免遭到偵測。 |
這些指標代表物件的元素具有收集資料的功能或證據。這可能包括列舉系統組態或收集特定敏感資訊。
| 類別 | 名稱 | 說明 |
|---|---|---|
| 收集 | BrowserInfoTheft | 此物件可能嘗試讀取儲存在網頁瀏覽器快取中的密碼。惡意軟體會收集使用者名稱和密碼資訊,並傳回至惡意軟體的建立者。 |
| 收集 | CredentialProvider | 此物件似乎會與認證供應商互動,或嘗試顯示為認證供應商。認證供應商可存取許多類型的敏感性資料,例如使用者名稱和密碼。惡意軟體會嘗試與認證供應商互動,或嘗試顯示為認證供應者身分,以取得此敏感性資料。 |
| 收集 | CurrentUserInfoImports | 此物件匯入的功能可用於收集登入使用者相關資訊。惡意軟體會使用此資訊來決定提升權限和改善未來攻擊的方法。 |
| 收集 | DebugStringImports | 此物件匯入的功能可用於輸出偵錯字串。惡意軟體作者通常會將程式碼保留在開發期間用於除錯的惡意程式碼中。反之,生產軟體通常會停用或不顯示偵錯字串。 |
| 收集 | DiskInfoImports | 此物件匯入的功能可用於收集電腦磁碟區相關詳細資料。大多數商務軟體不需要完整的磁碟資訊。攻擊者會使用這類資訊列舉規劃其他攻擊。 |
| 收集 | EnumerateFileImports | 此物件匯入的功能可用於列出檔案。惡意軟體會使用此清單來尋找敏感性資料,或尋找進一步的攻擊點。您可以從檔案清單中判斷在裝置上安裝的程式版本和類型,惡意軟體建立者可以嘗試在已安裝的軟體中尋找進一步漏洞。 |
| 收集 | EnumerateModuleImports | 此物件匯入的功能可用於列出執行中程式使用的所有動態連結程式庫 (DLL)。惡意軟體會使用此功能鎖定載入至程式的特定程式庫,並對應出要插入的程序。 |
| 收集 | EnumerateNetwork | 此物件使用的功能可列舉連接的網路和網路配接卡。網路列舉是指識別可在同一網路上存取的其他電腦。資訊包括:使用者名稱、網路共用和服務。惡意軟體會使用此資訊判斷目標電腦與其他電腦的關係,以確定目標電腦在網路上的位置。惡意軟體會尋找可從網路存取的其他目標電腦。 |
| 收集 | EnumerateProcessImports | 此物件匯入的功能可用於列出電腦上的所有執行中程式。惡意軟體會使用此功能來找出可插入、模仿或終止的程序。 |
| 收集 | EnumerateVolumeImports | 此物件匯入的功能可用於列出電腦磁碟區的功能。這類資訊可用於識別相關資訊可能駐留的區域,或是散佈或部署其他惡意軟體的新地點。 |
| 收集 | GinaImports | 此物件匯入的功能可用於存取 Windows XP 和 Windows Server 2003 中的 Graphical Identification and Authentication (GINA) 元件。惡意軟體會透果此動作嘗試破解 Ctrl-Alt-Del 安全密碼輸入系統或其他網路登入功能。範例:以 GINA 為目標的惡意軟體可能會嘗試將電腦上使用的使用者名稱和密碼寫入檔案,並提供給惡意軟體建立者。 |
| 收集 | HostnameSearchImports; | 此物件匯入的功能可收集網路上的主機名稱及受感染電腦本身主機名稱的相關資訊。惡意軟體會使用此功能,以進一步鎖定攻擊或掃描新目標。範例:獲取主機名稱可讓惡意軟體能使用遠端存取通訊協定 (例如遠端桌面) 存取其他電腦,或提供猜測密碼的目標。 |
| 收集 | KeystrokeLogImports | 此物件匯入的功能可從鍵盤擷取和記錄按鍵敲擊。惡意軟體會使用此動作擷取並儲存按鍵敲擊,以尋找如使用者名稱和密碼等敏感資訊。 |
| 收集 | OSInfoImports | 此物件匯入的功能可用於收集目前作業系統的相關資訊。惡意軟體可使用此功能打造更精準的進一步攻擊 (利用作業系統漏洞),並將資訊回報給控制器。 |
| 收集 | PossibleKeylogger | 根據按鍵記錄類型活動的證據,此物件似乎是一個按鍵記錄程式。惡意軟體會使用按鍵記錄器,透過鍵盤輸入收集密碼等敏感資訊。 |
| 收集 | PossiblePasswords | 此物件似乎包含一般密碼,或其結構化方法允許以暴力強制破解一般密碼。惡意軟體會使用此功能,嘗試使用密碼存取其他資源,進一步存取網路。 |
| 收集 | ProcessorInfoWMI | 此物件匯入的功能可用於判斷處理器 (CPU) 的相關詳細資料。惡意軟體可使用此資訊量身打造攻擊,並將收集的資料傳送至常見的命令與控制 (C&C) 基礎結構 (流出資料)。處理器資訊範例包括 CPU 是否支援 64 位元作業系統;64 位元作業系統會提供比 32 位元版本更多的安全措施。 |
| 收集 | RDPUsage | 此物件顯示與遠端桌面通訊協定 (RDP) 互動的證據。惡意軟體經常使用此功能感染其他電腦,並獲得對感染電腦的直接命令和控制能力。惡意軟體可使用 RDP (如網路共用) 與其他電腦共用資源。 |
| 收集 | ShellCommandString | 此物件包含一或多個通用公用程式或 Shell 命令的參考,相較於合法軟體,這些公用程式或 Shell 命令更常見於惡意軟體中。例如「netstat」或「tasklist」等,可用於進一步列舉電腦資訊。 |
| 收集 | SystemDirImports | 此物件匯入的功能可用於尋找系統目錄。惡意軟體會透過此功能找出許多已安裝系統二進位檔案的位置,因為這些檔案經常隱藏在該目錄中。 |
| 收集 | UserEnvInfoImports | 此物件匯入的功能可用於收集登入使用者的環境相關資訊。惡意軟體會使用此功能來判斷登入使用者的詳細資料,並尋找可透過邏輯猜測的網路環境情報。範例:使用者名稱慣例和電腦命名慣例。 |
這些指標代表物件的元素具有資料外流的功能或證據。這可能包括傳出網路連線、作為瀏覽器的證據,或是其他網路通訊。
| 類別 | 名稱 | 說明 |
|---|---|---|
| 資料遺失 | AbnormalNetworkActivity | 此物件會實作非標準的網路通訊方式。惡意軟體會透過此方法,避免更常見的網路方法偵測。這類通訊的範例是使用 CoCreateInstance 功能來使用 COM 介面。 |
| 資料遺失 | BrowserPluginString | 此物件似乎是以常見的瀏覽器附掛程式架構為目標。惡意軟體可能會註冊為瀏覽器附掛程式,以將本身架構在電腦上,以影響瀏覽器並對使用者進行間諜活動,或進行詐欺行為等。 |
| 資料遺失 | ContainsBrowserString | 此物件包含嘗試建立自訂 UserAgent 字串的證據。在 HTTP 通訊期間,會使用 UserAgent 字串識別用戶端連線至網站所使用的軟體類型。惡意軟體經常會嘗試混合使用合法的 UserAgent 字串,但通常會採用較舊或錯誤格式的 UserAgent 字串。 |
| 資料遺失 | DownloadFileImports | 此物件匯入的功能可將檔案下載至電腦。惡意軟體會透過下載惡意檔案進行進一步攻擊,或使用連出 URL,將收集到的資料傳回惡意軟體建立者。 |
| 資料遺失 | FirewallModifyImports | 此物件匯入的功能可用於修改本機 Windows 防火牆設定。惡意軟體會使用此功能在電腦上開啟更多連接埠,並避免在與惡意軟體建立者通訊時遭到偵測。 |
| 資料遺失 | HTTPCustomHeaders | 此物件包含建立自訂 HTTP 標頭的證據。惡意軟體會透過此功能與命令與控制 (C&C) 基礎結構互動,並避免遭到偵測。例如 PlugX 使用「X-Session」、「X-size」和其他自訂標頭。 |
| 資料遺失 | IRCCommands | 此物件包含與網際網路中繼聊天 (IRC) 伺服器互動的證據。惡意軟體通常使用 IRC 與命令與控制 (C&C) 基礎結構通訊。IRC 支援簡單、以文字為基礎的交談環境,並可讓人類操作員立即與多個遭入侵的電腦互動。 |
| 資料遺失 | MemoryExfiltrationImports | 此物件匯入的功能可從執行中的程序讀取記憶體。惡意軟體會以此方式決定插入的適當位置,或擷取有用的資訊,例如密碼、信用卡資料或其他敏感資訊。 |
| 資料遺失 | NetworkOutboundImports | 此物件匯入的功能可將資料傳出至本機網路或網際網路。惡意軟體會使用此能力,傳輸從電腦 (流出資料) 或命令與控制 (C&C) 收集到的資訊。 |
| 資料遺失 | PipeUsage | 此物件匯入的功能可允許操作指定的管道。惡意軟體會使用此功能進行通訊,並傳輸從電腦收集到的資訊 (流出資料)。伺服器與用戶端之間的通訊會使用指定的管道。任何程序皆可作為伺服器和用戶端使用,讓資訊能傳送至受影響的電腦,或是從受影響的電腦傳出。 |
| 資料遺失 | RPCUsage | 此物件匯入的功能可使其與遠端程序呼叫 (RPC) 基礎結構互動。惡意軟體會使用此功能自行散佈,或傳輸從電腦收集到的資訊 (流出資料)。RPC 也可作為本機網路內的命令和控制方式使用。 |
| 資料遺失 | SpyString | 物件目標功能可用於監視電腦使用者。 |
這些指標代表物件的元素具有嘗試進行詐騙的功能或證據。詐騙的形式可能包括隱藏區段、包含代碼以避免偵測,或在中繼資料或其他區段中的標示不正確。
| 類別 | 名稱 | 說明 |
|---|---|---|
| 詐騙 | AntiVM | 此物件可能會嘗試判斷程式是否正在虛擬機器中執行。防毒程式和安全性研究人員會使用虛擬機器執行潛在的惡意檔案以檢查,而不會影響電腦。惡意軟體通常會嘗試避免在虛擬機器中執行,以避免在虛擬機器內遭到偵測,或是顯示出不同的替代行為,以欺騙研究人員。 |
| 詐騙 | CabinentUsage | 此物件似乎包含 Cabinet 檔案 (CAB)。惡意軟體會透過此方法,將敏感元件包裝成許多防毒程式無法掃描的格式。CAB 檔案可使用增強式加密,且不需要在機器上安裝任何其他軟體。 |
| 詐騙 | ContainsEmbeddedDocument | 此物件包含內嵌於物件內部的文件。惡意軟體可使用此方式將攻擊分散到多個來源,或以其他方式隱藏其真實形式。範例:物件可能包含具備惡意巨集的文件,並會在核准開啟內嵌檔案時執行。 |
| 詐騙 | CryptoKeys | 此物件可能包含內嵌密碼編譯金鑰。惡意軟體可透過此功能避免偵測或提供遠端服務驗證。勒索軟體可以使用此功能加密本機電腦上的檔案,並儲存私密金鑰,以在遠端伺服器上解密資料。 |
| 詐騙 | DebugCheckImports | 此物件匯入的功能可讓其像偵錯程式 (偵錯) 一樣運作。偵錯程式可用來測試程式中的其他軟體問題,其中包括停止測試的程式,以及變更其運作方式。但是,這些相同的功能也可用於惡意目的,例如從電腦上執行的其他程式讀取敏感資訊,或是篡改軟體 (如同影響著作權保護的軟體破解工具)。 |
| 詐騙 | EmbeddedPE | 此物件其中包含其他物件,這在軟體安裝程式以外很少見。惡意軟體會嵌入這些物件,將其置入磁碟機,然後執行它們。透過此技術可運用掃描技術不認識且無法偵測的格式包裝物件,以避免遭到掃描。 |
| 詐騙 | EncodedPE | 此物件內包含其他物件,並在其他物件上使用編碼配置。這是可疑的行為。惡意軟體會透過此方式將來源資訊編碼至惡意物件知悉的配置中,以避免遭到掃描。 |
| 詐騙 | ExecuteDLL | 此物件包含使用常見方法執行 DLL 的功能。惡意軟體會使用此方法,以避免常見的偵測實務。惡意軟體逐漸移轉至使用更多 DLL,因為這更難從程序清單中偵測到。 |
| 詐騙 | FakeMicrosoft | 此物件宣稱為由 Microsoft 建立,但看起來不像是 Microsoft 的物件。惡意軟體嘗試偽裝為 Microsoft 物件,以避免偵測。 |
| 詐騙 | HTTPCustomUserAgent | 此物件包含操作瀏覽器 User-Agent 的證據。惡意軟體會透過此功能與命令與控制 (C&C) 基礎結構互動,並避免遭到偵測。在 HTTP 中,User-Agent 資訊可能包含瀏覽器版本,其中會提供相容性資訊。但是,User-Agent 也可能包含任何資訊,包括敏感的電腦資訊。 |
| 詐騙 | InjectProcessImports | 此物件可將程式碼注入到其他程序中。這表示程序嘗試在某些方面具有詐欺或惡意的嘗試。惡意軟體會使用代碼注入來安裝和執行隱蔽的惡意物件、中斷服務或提高權限。 |
| 詐騙 | InvisibleEXE | 此物件會以隱蔽的方式執行,但並非背景服務。惡意軟體可能會嘗試在使用者不知道的情況下執行,以保持隱蔽。 |
| 詐騙 | MSCertStore | 此物件會與核心 Windows 憑證儲存庫互動。惡意軟體會透過此行為收集登入資料並插入惡意金鑰,以進行中間人攻擊。 |
| 詐騙 | MSCryptoImports | 此物件匯入的功能會使用核心 Windows 加密程式庫。惡意軟體會透過此功能運用本機安裝的密碼編譯,而不需提供自己的密碼編譯。Windows 加密程式庫可讓您建立密碼編譯金鑰,以及加密或解密資料。 |
| 詐騙 | ProtectionExamination | 此物件似乎在尋找常見的電腦保護程式 (例如防毒或防惡意軟體)。惡意軟體會透過此行為,啟動針對在裝置上安裝的保護系統所打造的反保護動作。 |
| 詐騙 | SegmentSuspiciousName | 此物件包含具有可疑名稱的區段。這可能表示檔案經過模糊處理以避免偵測,或是以異常方式產生。區段是物件的一部分,其中包含程式執行時可用的變數。 |
| 詐騙 | SegmentSuspiciousSize | 此物件包含具有大小異常的區段。這可能表示檔案經過模糊處理以避免偵測,或是以異常方式產生。區段是物件的一部分,其中包含程式執行時可用的變數。 |
| 詐騙 | SelfExtraction | 此物件似乎是自動解壓縮歸檔。惡意軟體會使用此方法隱藏其真正的目的,因為某些防毒或防惡意軟體程式無法偵測到歸檔 (壓縮) 惡意軟體,或是會分類錯誤。自行解壓縮物件可在不涉及使用者的情況下讓惡意軟體解壓縮,並可能執行。 |
| 詐騙 | ServiceDLL | 此物件似乎是服務動態連結程式庫 (DLL)。服務 DLL 通常會在電腦啟動時啟動。這可為惡意軟體提供持續性。 |
| 詐騙 | TempFileImports | 此物件匯入的功能可存取並操作暫存檔案。惡意軟體有時會隱藏,並從電腦上的暫存檔案執行。並非所有防毒或防惡意軟體都會掃描暫存檔案,因此惡意軟體會操作暫存檔,以避免遭到偵測。 |
| 詐騙 | UsesCompression | 此物件似乎已壓縮其部份程式碼。惡意軟體會使用此方法避免遭到偵測,因為某些防毒或防惡意軟體程式無法偵測到壓縮的惡意軟體,或是會分類錯誤。 |
| 詐騙 | VirtualProtectImports | 此物件匯入的功能可修改執行中程序的記憶體。惡意軟體透過此行為將其注入至執行中程式中。惡意軟體可能會將某些內容複製到記憶體 (例如動態連結程式庫或 DLL),並透過注入程序執行。 |
這些指標代表物件的元素具有破壞性的功能或證據。破壞性功能包括刪除檔案或目錄等電腦資源的功能。
| 類別 | 名稱 | 說明 |
|---|---|---|
| 破壞 | AutorunsPersistence | 此物件嘗試與常見的持續性方法互動,以確保物件持續存在或在電腦上執行。一些持續性範例是修改登錄檔,在每次使用者登入時執行惡意軟體,以及使用 Windows 服務,因為這可獲得具備最高層級許可權的可用帳戶。 |
| 破壞 | DestructionString | 此物件似乎使用破壞性功能。破壞性功能的範例包括刪除檔案和終止在電腦上執行的程序。 |
| 破壞 | FileDirDeleteImports | 此物件匯入的功能可刪除檔案或目錄。惡意軟體通常會使用此功能來破壞電腦並掩蓋其蹤跡。 |
| 破壞 | PossibleLocker | 此物件似乎能夠依原則鎖定通用工具。惡意軟體可透過此能力延續持續性,並使偵測和清理作業更加困難。 |
| 破壞 | RegistryManipulation | 此物件匯入的功能可操作 Windows 登錄檔。惡意軟體的可透過此能力獲得持續性、避免偵測、列舉電腦資訊,以及其他許多事項。 |
| 破壞 | SeBackupPrivilege | 此物件可能會嘗試讀取不具存取權的檔案。它似乎要求 SeBackupPrivilege,這是使用程式讀取檔案的權限,無論檔案存取控制清單 (ACL) 安全性設定為何。此權限通常保留給系統管理員使用者。 |
| 破壞 | SeDebugPrivilege | 此物件可能會嘗試篡改系統程序。程式會使用 SeDebugPrivilege 存取其他程序,此權限通常保留給系統管理員使用者。此權限可讓開發人員在不啟用所有系統管理使用者權限的情況下對服務偵錯,但惡意軟體可能會使用此許可權,以篡改可能包含敏感資訊的關鍵和高權限程序。 |
| 破壞 | SeRestorePrivilege | 此物件可能會嘗試變更或刪除不具存取權的可攜式可執行檔 (PE)。搭配 SeBackupPrivilege,SeRestorePrivilege 可獲得所有檔案的存取權並進行寫入,無論檔案存取控制清單 (ACL) 安全性設定為何。 |
| 破壞 | ServiceControlImports | 此物件匯入的功能可控制目前電腦的 Windows 服務。惡意軟體會透過此能力在背景中自行啟動 (透過安裝為服務),或停用其他可保護電腦的服務。 |
| 破壞 | SpawnProcessImports | 此物件匯入的功能可用於執行另一個程序。惡意軟體可使用此功能來啟動後續的感染階段,通常會從網際網路下載。 |
| 破壞 | TerminateProcessImports | 此物件匯入的功能可用於停止執行中程序。惡意程式碼會使用此功能嘗試移除電腦的保護能力,或損壞正在執行中的電腦。 |
| 破壞 | UserManagementImports | 此物件匯入的功能可用於變更本機電腦上的使用者。它可以新增、刪除或變更關鍵使用者的詳細資料。惡意軟體可以使用此功能達到持續性,或對本機電腦造成傷害。 |
| 破壞 | VirtualAllocImports | 此物件匯入的功能可用於要求其他執行中程序的記憶體。合法軟體會使用這些功能為程式擴展新增功能,而惡意軟體則會使用這些功能將惡意程式碼注入執行中的程序。 |
所有不符前述類別的指標
| 類別 | 名稱 | 說明 |
|---|---|---|
| 其他 | AutoRunString | 此物件似乎使用一或多種方法在電腦上建立持續性。範例:物件將其本身註冊為當電腦啟動或使用者登入時執行。 |
| 其他 | CodepageLookupImports | 此物件匯入的功能可用於尋找執行中電腦的 CodePage (位置)。惡意軟體使用此功能來區分電腦執行的國家或地區,以更明確地以特定群組為目標。 |
| 其他 | HiddenMachO | 此檔案包含一或多個內嵌式可執行檔。在合法軟體中,可執行檔會封裝為套件、安裝程式或磁碟映像。在惡意軟體中,可執行檔會儲存在資源區段中,或附加到檔案的結尾。 |
| 其他 | MutexImports | 此物件匯入的功能可建立和控制互斥 (Mutex) 物件。惡意軟體經常使用 Mutex,以避免多次感染相同電腦。惡意軟體會使用此功能以避免多次感染電腦,進而降低導致電腦發生異常的機率,而避免導致遭到偵測。 |
| 其他 | OpenSSLStatic | 此物件包含編譯為隱蔽的 OpenSSL 版本。OpenSSL 是一種用於確保通訊安全的密碼編譯程式庫,通常用於 Web 伺服器。惡意軟體透過此動作包含密碼編譯功能,避免使其顯得可疑。 |
| 其他 | PListString | 此物件包含 .plist 檔案的參考。Linux 和 Mac OS X 電腦會使用 Plist 檔案。如果已安裝 OS X 的軟體 (例如 iTunes),Windows 電腦上也可能會出現 Plist 檔案。Plist 檔案通常包含軟體程式的偏好設定。惡意軟體通常會以應用程式的 .plist 檔案為目標,以進行資料運送或滲透。 |
| 其他 | PrivEscalationCryptBase | 此物件顯示嘗試使用 CryptBase 升級特定權限的證據。受信任的 sysprep.exe 二進位程式會使用相同本機目錄的 Crytpbase.dll 名稱載入任何 DLL。若更換為惡意軟體檔案,此技術可用來將使用者權限升級至系統管理員,而不會通知使用者,且不會顯示使用者帳戶控制 (UAC) 訊息。惡意軟體會使用此功能,在受影響的電腦上獲得更高的權限。 |
| 其他 | SystemCallSuspicious | 此物件包含通常合法軟體不會使用的電腦功能參考。軟體程式會使用系統呼叫,以使用作業系統中可用的服務。範例:存取硬體 (例如硬碟)、建立和執行程序,以及與核心通訊 (所有作業系統的重要部分)。 |
如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇。
其他資訊
影片
受影響的產品
Dell Threat Defense文章屬性
文章編號: 000124800
文章類型: Solution
上次修改時間: 19 4月 2026
版本: 9
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。