使用記憶體攻擊緩和政策強化 Windows 用戶端防範記憶體竄改攻擊

記憶體攻擊緩和如何保護應用程式?
從 14 版開始,
Symantec Endpoint Protection
包含記憶體攻擊緩和,其使用多種緩和技術來阻止對軟體中弱點的攻擊。例如,當用戶端使用者執行 Internet Explorer 之類應用程式時,侵入可能改為啟動包含惡意程式碼的其他應用程式。
為了阻止侵入,記憶體攻擊緩和會將 DLL 插入至受保護的應用程式。在記憶體攻擊緩和偵測到侵入嘗試之後,它會攔截侵入或終止侵入所威脅的應用程式。
Symantec Endpoint Protection
會對用戶端電腦上的使用者顯示有關偵測的通知,並且在用戶端的安全日誌中記錄事件。
例如,用戶端使用者可能會看見以下通知:
Symantec Endpoint Protection: Attack: Structured Exception Handler Overwrite detected. Symantec Endpoint Protection 將終止
<應用程式名稱>
應用程式
記憶體攻擊緩和會繼續攔截侵入或終止應用程式,直到用戶端電腦執行已修正弱點的軟體版本為止。
在 14 MPx 中,「記憶體攻擊緩和」稱為「防一般攻擊程式」。
侵入防護的類型
記憶體攻擊緩和使用多種類型的緩和技術來處理侵入,端視該類型的應用程式最適合的技術為何。例如,StackPvt 和 RopHeap 技術會攔截攻擊 Internet Explorer 的侵入。
如果您已在電腦上啟用 Microsoft App-V 功能,記憶體攻擊緩和不會保護 App-V 所保護的 Microsoft Office 程序。
記憶體攻擊緩和需求
只有在已安裝入侵預防的情況下,才能使用記憶體攻擊緩和。記憶體攻擊緩和有自己的一組獨立特徵,這些特徵會隨入侵預防定義檔一起下載。不過,您可以獨立地啟用或停用入侵預防和記憶體攻擊緩和。
從 14.0.1 開始,記憶體攻擊緩和有專屬的政策。在 14 MPx 版中,它屬於入侵預防政策的一部分。如果您停用「
總覽
」標籤上的入侵預防政策,就會停用記憶體攻擊緩和。
此外,您必須至少執行 LiveUpdate 一次,應用程式清單才會出現在記憶體攻擊緩和政策中。根據預設,出現在政策中的所有應用程式均啟用防護。
修正和防止誤報
記憶體攻擊緩和偶爾會意外終止用戶端電腦上的應用程式。如果您判斷應用程式的行為是合法並且未被侵入,偵測即為誤報。針對誤報,您應該停用防護,直到賽門鐵克安全機制應變中心變更記憶體攻擊緩和的行為為止。
下表顯示處理誤報偵測的步驟。
尋找和修正誤報的步驟
工作
步驟 1:找出用戶端電腦上非預期終止的應用程式。
您可以使用下列方式找出用戶端電腦上終止的應用程式:
  • 用戶端電腦上的使用者通知您某個應用程式未執行。
  • 開啟記憶體攻擊緩和日誌或報告,其中列出哪項緩和技術終止了用戶端電腦上的應用程式。
由於侵入的本質,有時緩和技術不會產生日誌。
步驟 2:停用防護並稽核終止應用程式的技術。
先將防護停用在最低層級,使得其他處理程序保持受到保護。請勿關閉記憶體攻擊緩和,以允許應用程式執行,直到您已嘗試所有其他方法為止。
在以下每個子工作之後,前往步驟 3。
  1. 首先,稽核緩和技術所終止的特定應用程式的防護。
    例如,如果 Mozilla Firefox 已終止,您會停用 SEHOP 技術或 HeapSpray 技術。由於侵入的本質,有時緩和技術不會建立日誌事件,因此,您無法確定哪項緩和技術終止了應用程式。在此情況下,您應該停用保護該應用程式的每項技術,一次一項,直到您找出造成終止的技術為何。
  2. 稽核單一緩和技術保護的所有應用程式的防護。
  3. 稽核所有應用程式的防護,而不論技術為何。此選項類似於停用記憶體攻擊緩和,除了管理伺服器會為偵測收集日誌事件。使用此選項來檢查舊版 14 MPx 用戶端上的誤報。
步驟 3:更新用戶端電腦上的政策並重新執行應用程式。
  • 如果應用程式正確執行,該緩和技術的偵測即為誤報。
  • 如果應用程式未以您預期的方式執行,該偵測即為檢出。
  • 如果應用程式仍終止,請在層級限制的層級上稽核。例如,稽核不同的緩和技術或技術保護的所有應用程式。
步驟 4:報告誤報並為檢出重新啟用防護。
針對誤報偵測:
  1. 將偵測是誤報一事通知賽門鐵克團隊。請參閱賽門鐵克行家秘訣:成功提交!
  2. 透過將每項技術的動作設定為「
    」,針對終止的應用程式保持停用防護。
  3. 在安全機制應變解決問題之後,透過將技術的動作變更為「
    」重新啟用防護。
針對檢出偵測:
  1. 透過將該緩和技術規則的動作變更回「
    」重新啟用防護。
  2. 檢查是否有受感染應用程式的修補版本或較新的發行版可修正目前的弱點。安裝修補的應用程式之後,在用戶端電腦上重新執行該應用程式,以查看記憶體攻擊緩和是否仍會終止該應用程式。
尋找記憶體攻擊緩和事件的日誌和報告
您必須檢視日誌並執行快速報告,以尋找記憶體攻擊緩和終止的應用程式。
  1. 在主控台中,執行下列其中一個動作:
    • 針對日誌,按下「
      監視器
      」>「
      日誌
      」>「
      防網路和主機侵入
      」日誌類型 >「
      記憶體攻擊緩和
      」日誌內容 >「
      檢視日誌
      」。
      尋找「
      記憶體攻擊緩和已攔截事件
      」事件類型。「
      事件類型
      」欄會列出緩和技術,而「
      動作
      」欄則列出「
      應用程式名稱
      」欄中的應用程式是否已遭攔截。例如,下列日誌事件表示 Stack Pivot 攻擊:
      Attack: Return Oriented Programming Changes Stack Pointer
    • 針對快速報告,按下「
      報告
      」>「
      快速報告
      」>「
      防網路和主機侵入
      」報告類型 >「
      記憶體攻擊緩和偵測
      」報告 >「
      建立報告
      」。
      尋找攔截的記憶體攻擊緩和偵測。
  2. 稽核已終止應用程式的防護
    對誤報進行測試時,請變更記憶體攻擊緩和行為,使其可稽核偵測,但也讓應用程式執行。不過,記憶體攻擊緩和不會保護應用程式。
    稽核已終止應用程式的防護
  3. 在主控台中,按下「
    政策
    」>「
    記憶體攻擊緩和
    」>「
    記憶體攻擊緩和
    」。
  4. 在「
    緩和技術
    」標籤上,於「
    選擇緩和技術
    」旁,選取終止應用程式的技術,例如
    StackPvt
  5. 在「
    受保護
    」欄下方,選取終止的應用程式,然後將「
    預設值 (是)
    」變更為「
    只記錄
    」。
    在驗證該偵測真的是誤報之後,將動作變更為「
    」。「
    只記錄
    」和「
    」兩者會允許可能的侵入,但也會讓應用程式執行。
    部分應用程式有會攔截侵入的多項緩和技術,因此請個別對每項技術執行此步驟。
  6. (選擇性) 執行下列其中一個步驟,然後按下「
    確定
    」:
    • 如果您不確定哪項技術終止了應用程式,請按下「
      為此技術的所有應用程式選擇防護動作
      」。此選項會覆寫每項技術的設定。
    • 如果您同時具有 14.0.1 用戶端和舊版 14 MPx 用戶端,而您只想要測試 14.0.1 用戶端,請按下「
      將所有技術的防護動作設為只記錄
      」。
  7. (選擇性) 如果要測試應用程式而不論技術為何,請在「
    應用程式規則
    」標籤上,於「
    受保護
    」欄中,取消勾選終止的應用程式,然後按下「
    確定
    」。
    針對舊版 14 MPx 用戶端,您僅可以使用此選項。升級至 14.0.1 版用戶端之後,重新啟用防護並執行較精細的調整。開啟「
    電腦狀態
    」日誌來尋找哪個用戶端執行哪個產品版本。
  8. 在主控台中,按下「
    政策
    」>「
    記憶體攻擊緩和
    」。
  9. 取消勾選「
    啟用記憶體攻擊緩和
    」。
  10. 按下「
    確定
    」。
  11. Symantec Endpoint Protection Manager
    中,請確保已啟用 Symantec Insight。Insight 預設為啟用。
  12. 在用戶端電腦上下載並執行 SymDiag 工具。請參閱:下載 SymDiag 以偵測產品問題
  13. 在 SymDiag 工具的「
    首頁
    」上,按下「
    收集支援資料
    」,並針對「
    除錯記錄
    」>「
    進階
    」選項,將「
    WPP 除錯
    」>「
    追蹤層級
    」設為「
    詳細資訊
    」。
  14. 重現誤報偵測。
  15. 日誌收集完成後,將
    .sdbz
    檔案提交給 方法為開啟一個新案例或使用此新資訊更新現有案例。
  16. 將偵測到的應用程式提交至 SymSubmit 網站,並執行下列工作:
    • 選擇偵測發生的時間,選擇
      B2 Symantec Endpoint Protection 14.x
      產品,然後按下
      C5 - IPS
      事件。
    • 在提交附註中,提供先前步驟中的技術支援案例編號、觸發 MEM 偵測的應用程式,以及有關應用程式版本號碼的詳細資料。
      例如,您可能會新增:「
      "Blocked Attack: Return Oriented Programming API Invocation attack against C:\Program Files\VideoLAN\VLC\vlc.exe"
      ,而 vlc.exe 的版本為 2.2.0-git-20131212-0038。這不是最新的可用版本,卻是我們的組織需要使用的版本。」
  17. 在用戶端電腦上,壓縮位於以下位置的提交資料夾的複本:
    %PROGRAMDATA%\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\CmnClnt\ccSubSDK
    將此資料夾提交至技術支援,並通知他們您在前一個步驟中開啟的誤報提交的追蹤號碼。技術支援可確保所有必要的日誌和材料完整保留且與誤報調查相關聯。