Iniettori DLL di terze parti, deviazioni del codice e aggancio

Articoli tecnici ID: KB88085
Ultima modifica: 23/09/2021

Ambiente

McAfee Endpoint Security (ENS) Prevenzione delle minacce 10.x
McAfee VirusScan Enterprise (VSE) 8.x
McAfee Agent (MA) 5.x

Riepilogo

Le applicazioni software eseguite in ambienti Microsoft Windows possono iniettare codice in un processo che non è il proprio. Sebbene questo comportamento sia simile a quello di malware, è anche un meccanismo integrato per Microsoft Windows. Questo meccanismo consente agli sviluppatori di software di fornire un'esperienza di elaborazione più ricca per l'utente.

McAfee Enterprise ha incontrato numerose applicazioni software con motivi legittimi per caricare le dll nei processi di McAfee Enterprise. Sebbene McAfee Enterprise tenti di bloccare i tentativi di caricamento delle DLL, le limitazioni tecniche consentono a tali iniezioni di avere successo a volte. Viene quindi richiesta una risposta alternativa da McAfee Enterprise, per consentire all'ENS di continuare a funzionare normalmente. Questa situazione ha portato all'utilità MfeSysPrep.exe. Il MfeSysPrep.exe è disponibile tramite Assistenza tecnica e può essere utilizzato come strumento di individuazione degli iniettori DLL. Questa utilità è consigliata per ogni ambiente che avverte i sintomi causati dalla presenza di dll di terze parti nei processi McAfee Enterprise. Include inoltre le DLL di terze parti descritte nella Problema istruzioni riportate di seguito.

Sfondo
McAfee Software Enterprise considera le DLL di terze parti che sono state iniettate nei processi di McAfee Enterprise non affidabili. In altre parole:

Il codice non è stato scritto.
Non sappiamo quali sono i loro codici o cosa può fare.
Non sappiamo se può essere mai compromesso e utilizzato maliziosamente.

Ciò che sappiamo è che qualsiasi lavoro svolto dalle funzioni DLL di quella terza parte sembra provenire dal processo iniettato McAfee Enterprise. Quindi, se si tratta di attività dannose, sembra che il software McAfee Enterprise stia eseguendo operazioni dannose. La possibilità di iniezioni di DLL di terze parti nei processi McAfee Enterprise non è accettabile. Abbiamo adottato misure che utilizzano la tecnologia di protezione dell'accesso (AP), nota anche come controllo arbitrario degli accessi, per proteggersi contro le iniezioni di DLL di terze parti. Abbiamo inoltre implementato un Framework per la convalida e la protezione dell'affidabilità (VTP). Questo framework protegge dagli scenari in cui è possibile che si sia verificata un'iniezione.

Il Framework di protezione di convalida e affidabilità è stato introdotto con VSE 8.7i. La funzionalità di protezione dell'accesso è stata introdotta con VSE 8.0i. La tecnologia sottostante è stata aggiornata in VSE 8.8 Patch 5 (o patch 4 + hotfix 929019). La nuova tecnologia è denominata controllo degli accessi arbitrario (AAC). Altri prodotti McAfee Enterprise hanno fatto transizioni tecnologiche simili per adottare questa tecnologia condivisa, necessaria per proteggere i prodotti da malware e da entità non affidabili.

Come utilizziamo la convalida e la protezione dell'affidabilità:
Il servizio di protezione dell'affidabilità e della convalida McAfee Enterprise, MFEVTPS.exe, è un servizio critico che esegue ispezioni delle dll e dei processi in esecuzione, inclusi i processi McAfee Enterprise, che interagiscono con McAfee codice Enterprise, per verificare che tali oggetti siano affidabili. Il servizio dipende dal servizio di crittografia Microsoft (CryptSvc), dalle API relative all'affidabilità e dallo stato dell'archivio dei certificati e dai file di catalogo. Se tali dipendenze sono in uno stato errato, il servizio potrebbe non funzionare correttamente.

Per ulteriori informazioni sulla firma dei file, consultare https://msdn.microsoft.com/en-us/windows/hardware/drivers/install/digital-signatures:

Un controllo di convalida si verifica quando McAfee codice Enterprise deve assicurarsi che il processo o l'oggetto in azione sia affidabile o entrambi.
Quando i processi di McAfee Enterprise vengono inizializzati, il servizio VTP viene utilizzato per convalidare il caricamento del codice affidabile. Usiamo AP/AAC per essere certi di caricare solo le dll affidabili.

Come sopra indicato, solo McAfee codice Enterprise e il codice Microsoft sono implicitamente affidabili.

Caching

The MFEVTPS.exe memorizza nella cache i risultati di un controllo di convalida per migliorare le prestazioni dei controlli di convalida futuri.
La cache viene sempre esaminata prima quando si esegue un controllo di convalida.
Se un controllo di convalida ha restituito "non affidabile", tale oggetto viene memorizzato nella cache come non affidabile. Se un oggetto è stato memorizzato nella cache come non affidabile in modo errato, solo un cache reimpostato può correggerlo.

Il cache viene reimpostato solo quando si esegue l'avvio in modalità provvisoria, ma non in modalità provvisoria con la rete o eseguendo il comando VTPInfo.exe /ResetVTPCache. McAfee Enterprise può anche reimpostare il cache tramite il file DAT, quando necessario. Immediatamente dopo la cache reimpostazione, un utente potrebbe avvertire un breve periodo di rallentamento delle prestazioni.

Errori di affidabilità
Un errore di affidabilità vede un controllo di convalida che risulta "non affidabile" quando il risultato previsto era "affidabile".

Esempi

Una terza parte ha iniettato un processo di McAfee Enterprise. Non si considera affidabile la terza parte, pertanto il processo non riesce a eseguire un controllo di convalida.
Un file con firma di Microsoft catalogo contiene informazioni di firma non valide. Pertanto, non è possibile verificarlo e un processo di McAfee Enterprise non riesce a caricarlo.
Un file DLL valido è stato memorizzato nella cache come "non affidabile" in modo errato e i tentativi successivi di caricarlo sono stati negati.

Tutti questi esempi possono causare il mancato funzionamento del processo McAfee Enterprise, ad esempio il caricamento non corretto o l'esecuzione corretta dei relativi compiti previsti. Questi errori si verificano a causa del proprio meccanismo di sicurezza (AAC), negando l'accesso a codice non affidabile.

Come utilizziamo la protezione dell'accesso o il controllo degli accessi arbitrario:
Il controllo degli accessi arbitrario ha sostituito la protezione dell'accesso. Questa tecnologia opera dal kernel Windows. Può bloccare l'accesso agli oggetti, ad esempio gli oggetti di rete, di file, di registro e di processo. La funzionalità dispone di un set di regole per determinare cosa bloccare e cosa consentire. Le regole descrivono comportamenti "pericolosi" o "non sicuri" che devono essere bloccati o negati. Molte delle regole sono sotto il vostro controllo, esposte nelle policy dell'interfaccia utente o di ePolicy Orchestrator (ePO). Alcune regole che non sono ancora esposte sono ancora attive, consideriamo queste regole fondamentali per lo stato operativo del prodotto. Le regole che esponiamo per te possono essere:

Attivata o disattivata.
Impostare su segnala solo.
Modificato per aggiungere altri processi da proteggere o proteggere da, o da escludere in modo da non bloccare più un determinato processo da violare la regola.
È possibile creare le proprie regole di blocco dei comportamenti, rendendo questa funzionalità uno degli strumenti più potenti a disposizione per proteggere l'ambiente.

Per riepilogare il funzionamento di AAC, viene visualizzata un'operazione che sta tentando di eseguire, viene eseguita una procedura e viene richiesto quanto segue:

Qual è il nome del processo?
Quale oggetto è l'accesso al processo?
Qual è il processo che tenta di eseguire l'oggetto?
L'operazione è consentita, sì o no?

Una risposta di "No" significa che la blocchiamo. Se il "rapporto" è attivato, lo registriamo e inviamo un evento al server ePO. Una risposta di "Sì" indica che l'azione è consentita.

Le nostre regole private includono più criteri, ad esempio:

Chi ha scritto questo codice? L'acquisizione di queste informazioni comporta la ricerca della firma digitale.
Ci fidiamo del certificato digitale di quel fornitore? Per impostazione predefinita, si considera affidabile solo McAfee Enterprise e Microsoft.

I criteri aggiunti offrono maggiore sicurezza. Al contrario, come spiegato sopra, se un controllo di convalida non riesce o restituisce un risultato "non affidabile", le nostre protezioni potrebbero bloccare l'accesso agli oggetti da parte di McAfee processi aziendali. Come indicato nella Sfondo dichiarazione sopra riportata, tale risultato è previsto.

Problema 1

Un processo di terze parti viene bloccato dall'accesso a file o processi protetti da McAfee Enterprise. Il processo di terze parti riceve il codice di errore 5, che indica ACCESS_DENIED. Questo comportamento è previsto e non si tratta di un problema con il software McAfee Enterprise.
Un processo di terze parti che carica le DLL di McAfee Enterprise viene bloccato dall'accesso ad altri processi, file o cartelle di McAfee Enterprise. Ad esempio, Microsoft Outlook, che carica le DLL di hook della modalità utente di prevenzione exploit di ENS, viene bloccato quando si tenta di accedere ad altri processi di McAfee Enterprise.

Problema 2

Un processo di McAfee Enterprise non viene avviato correttamente. Ad esempio, non è possibile avviare la console ENS nonostante i registri di installazione che indicano un esito positivo.
Un processo di McAfee Enterprise è in esecuzione, ma solo parzialmente operativo. Ad esempio, ENS viene caricato correttamente, ma indica che altri servizi non sono in esecuzione correttamente, ma il servizio applicabile è in esecuzione.
L'installazione di un prodotto McAfee Enterprise non riesce e tenta di eseguire il rollback, che potrebbe anche non riuscire, lasciando tracce di un tentativo di installazione non riuscito.
Un processo McAfee Enterprise viene bloccato dall'accesso ad altri file o cartelle appartenenti a un prodotto McAfee Enterprise diverso. Per esempio McScript_InUse.exe che appartiene alla McAfee Agent, è bloccata dall'accesso alle cartelle ENS.

Causa

A un livello elevato, la causa è la seguente:

Elabora le DLL di caricamento, che contengono codice eseguito. Tutto questo lavoro viene eseguito dal processo utilizzando i thread. Una DLL di terze parti è quella non creata tramite un fornitore, che in questo caso è McAfee Enterprise o Microsoft. Quando un processo di McAfee Enterprise carica una DLL di terze parti, tale processo è stato "iniettato" da tale DLL di terze parti, il che significa che ora contiene funzioni di terze parti e può eseguire il codice di terze parti. Il risultato è che il processo di McAfee Enterprise ora può eseguire operazioni che non era mai stato previsto. Non vi è inoltre alcuna consapevolezza di cosa tali azioni potrebbero essere perché non è McAfee codice Enterprise. Tuttavia, il codice di terze parti è attivo e risiede all'interno del processo di McAfee Enterprise.

Nota Molti fornitori di applicazioni di terze parti scrivono software legittimo che applica l'iniezione di DLL come mezzo per facilitare la loro funzione di prodotto. Esistono molti esempi, ma questi nomi sono di alcuni vendor le cui applicazioni sono comunemente rilevate nello spazio aziendale: Citrix, Avecto, Lumenion, Beyond Trust e NVIDIA.

Soluzione 1

L'ENS ha un processo denominato MFECanary.exe che viene eseguito come processo figlio per MFEEsp.exee acquisisce i dettagli del certificato digitale per qualsiasi DLL che tenti di inserirla. Le informazioni vengono inviate a ePO tramite un evento agent, che viene elaborato presso il server ePO. Viene quindi popolato in Endpoint Security In comune policy.

Quando si osserva che i certificati vengono inseriti nella Endpoint Security In comune policy, si tratta di un'indicazione del software non affidabile di terze parti presente nell'ambiente. Questo software è attivamente tentativo di caricamento delle dll nei processi McAfee Enterprise. Se riescono, la loro presenza all'interno dei processi aziendali McAfee conduce alla Problema dichiarazioni sopra descritte.

Dalla Endpoint Security In comune policy, una casella di controllo consente all'amministratore di controllare se i sistemi client si considerano affidabili o non considerano attendibili il certificato di terze parti. Lo stesso policy consente di aggiungere manualmente certificati per essere considerati affidabili, utilizzando il certificato esportato (.cer) della DLL di iniezione.

Per i sistemi con VSE, non esiste alcun metodo automatico per considerare affidabile una DLL che si sta iniettando. Ma, a partire dal rilascio di VSE 8.8 Patch 9, la protezione dell'accesso policy per VSE contiene una scheda di esclusioni globali per la protezione dell'autodifesa. In questa scheda è possibile escludere i processi McAfee Enterprise che sono interessati da un'iniezione di DLL di terze parti. Per avere un maggiore controllo sulle applicazioni che si iniettano nei processi McAfee Enterprise, i clienti vengono esortati a migrare a ENS.

Soluzione 2

Assistenza tecnica assistenza:
Assistenza tecnica può anche aiutare nell'identificazione di terze parti e, in seguito, di affidare a un certificato digitale di terze parti con le DLL di terzi firmate che si iniettano nei processi di McAfee Enterprise. Questo supporto richiede l'apertura di una richiesta di assistenza. Per velocizzare l'elaborazione, i passaggi per raggiungere queste attività sono disponibili in questo articolo.

Contenuto
Fare clic per espandere la sezione che si desidera visualizzare:

Opzione 1-identifica la terza parte-metodo più semplice

È disponibile un'utilità da Assistenza tecnica denominata MfeSysPrep.exe. È possibile eseguire MfeSysPrep.exe autonomo su qualsiasi sistema di destinazione per la scoperta dell'iniettore DLL, distribuito tramite strumenti di terze parti o distribuito tramite ePO. Lo strumento scrive un file di registro in locale e invia gli eventi ePO per le dll non affidabili identificate che potrebbero influenzare le funzioni ENS.

Per ciascun iniettore identificato e il relativo certificato digitale, se McAfee Enterprise ha ritenuto affidabile un certificato specifico, lo strumento aggiorna automaticamente l'ENS in modo che si fidi del certificato. Se lo strumento non rileva le dll non affidabili in circolazione, non è necessaria alcuna ulteriore azione. Consultare il Informazioni correlate sezione di questo articolo per implicazioni relative alla fiducia di un certificato di terze parti.

Per ogni non affidabili e firmati DLL identificata, le informazioni sul certificato vengono acquisite nel registro e fornite a ePO in un evento. L'ID evento è 1092 o 1095. Per ogni non affidabile e senza firma DLL identificata, viene registrata una hash SHA-1 e SHA-2 per tale DLL nel registro e fornita a ePO in un evento. Anche in questo caso, l'ID evento è 1092 o 1095.

L'ID evento 1092 indica che è stato trovato un iniettore e non è stato possibile considerarlo affidabile.
L'ID evento 1095 indica che è stato rilevato un iniettore e che è stato automaticamente considerato affidabile.

Opzione 2-identifica il metodo di terze parti-hard

Tale identificazione è forse l'impegno più difficile dell'intero processo. Il motivo è che il metodo per raccogliere queste informazioni varia in base al fatto che si verifichino sintomi che influiscono sul comportamento del prodotto. Consultare le sezioni seguenti per la raccolta dei dati quando non vi sono "sintomi avversi" e quando si verificano "sintomi avversi".

Nessun sintomo avverso:
1. Utilizzare Explorer di processo, disponibile da Microsoft.
2. Eseguire lo strumento come amministratore.
3. Selezionare il processo di McAfee Enterprise in cui è presente la DLL di terze parti.
4. Utilizzare la visualizzazione DLL o premere CTRL + D e identificare la DLL di terze parti, annotando la relativa posizione sul disco. Se sono presenti più percorsi, annotarli tutti.
5. Utilizzare Windows Explorer per individuare la DLL sul disco e accedere ai relativi Proprietà.
6. Vedere Come ottenere il file. cer sotto.
Sintomi avversi:
- Quando si verificano i sintomi avversi durante una sessione di Windows, sono disponibili due punti dati da raccogliere. Questi punti dati devono essere idealmente raccolti in parallelo, ovvero eseguire contemporaneamente entrambi gli strumenti e acquisire il problema una sola volta.
  1. Raccogliere i dati del monitoraggio dei processi:
    1. Utilizzare Monitoraggio processi, disponibile da Microsoft.
    2. Eseguire lo strumento come amministratore.
    3. Avviare il processo di McAfee Enterprise che si sta comportando in modo imprevisto.
    4. Dopo aver riprodotto il comportamento anomalo, salvare il Procmon catturare.
      
      IMPORTANTE Salvare tutti gli eventi e utilizzare il formato nativo PML.
    5. Fornire queste informazioni a Assistenza tecnica per facilitare l'identificazione della DLL di terze parti caricata tramite il processo di McAfee Enterprise.
  2. Raccogliere AMTrace dati
    1. Correre AMTrace.exe da un prompt dei comandi amministratore, che fornisce l'opzione di avvio immediato. Per istruzioni, consultare: KB86691-procedura minima di raccolta dei dati per problemi di Endpoint Security.
    2. Avviare il processo di McAfee Enterprise che si sta comportando in modo imprevisto.
    3. Dopo aver riprodotto il comportamento anomalo, eseguire AMTrace ancora una volta, fornendo ora l'opzione di arresto.
    4. Fornire il registro creato a Assistenza tecnica. che consente di identificare la DLL non affidabile.
- Quando i sintomi avversi si verificano solo in Windows avvio/avvio, sono disponibili due punti dati da raccogliere, che possono essere raccolti in serie o in parallelo:
  1. Raccogliere i dati del monitoraggio dei processi:
    1. Utilizzare Monitoraggio processi, disponibile da Microsoft.
    2. Eseguire lo strumento come amministratore.
    3. Nel menu opzioni, fare clic su attiva Registrazione di avvio.
    4. Reimpostazione del cache VTP *.
    5. Riavviare il sistema.
    6. Accesso ed esecuzione Monitoraggio processi nuovamente.
    7. Salvare il Procmon cattura registrazione di avvio.
      
      IMPORTANTE Salvare tutti gli eventi e utilizzare il formato nativo PML.
    8. Fornire queste informazioni a Assistenza tecnica per facilitare l'identificazione della DLL di terze parti caricata tramite il processo di McAfee Enterprise.
  2. Raccogliere AMTrace dati.
    1. Correre AMTrace.exe da un prompt dei comandi amministratore, che fornisce l'opzione di avvio all'avvio. Per istruzioni, consultare: KB86691-procedura minima di raccolta dei dati per problemi di Endpoint Security.
    2. Reimpostazione del cache VTP *.
    3. Riavviare il sistema.
    4. Dopo aver riprodotto il comportamento anomalo, eseguire AMTrace ancora una volta, fornendo ora l'opzione di arresto.
    5. Fornire il registro creato per Assistenza tecnica. Il file di registro aiuta a identificare la DLL non affidabile.

* Per reimpostare il cache VTP:

Da un prompt dei comandi amministratore, passare a \Program Files\Common Files\McAfee\SystemCore.
Eseguire il VTPInfo.exe utilità con il parametro /resetvtpcache:

VTPInfo.exe /ResetVTPCache

Ottenere il .cer file
Questa procedura è necessaria solo se è stata eseguita l'opzione 2 per identificare le dll non affidabili di terze parti. Ottenimento del .cer il file non è necessario se è stata utilizzata l'opzione 1.

Per accedere alle proprietà del file EXE o DLL, fare clic con il pulsante destro del mouse e scegliere Proprietà.
Fare clic sul pulsante Certificati digitali scheda.

Nota Se questa scheda non è presente, il file non è firmato digitalmente e non è possibile considerare affidabile il codice del fornitore. È necessario contattare il fornitore e richiedere che forniscano codice firmato.

Selezionare un certificato dall'elenco delle firme che si desidera impostare come affidabile.
Fare clic su Dettagli.
Fare clic su Visualizza certificato.
Fare clic sul pulsante Dettagli scheda.
Fare clic su Copia nel file.
Nell'esportazione guidata certificati, fare clic su Avanti.
Fare clic su Avanti di nuovo per accettare la creazione di un .cer file.
Specificare il nome e il percorso del file. Per esempio C:\Temp\My3rdParty.cer.
Fare clic su Avanti e Fine.

Considera affidabile un certificato digitale di terze parti

Se è stata utilizzata l'opzione 1 sopra e non sono state rilevate altre dll non affidabili, non è necessaria alcuna ulteriore azione.

Per non affidabili e firmati Dll, si prevede che il certificato digitale relativo a tale file venga visualizzato nella Endpoint Security In comune policy. In questo caso, consultare Soluzione 1.
Utilizzare le opzioni di Endpoint Security In comune policy per considerare affidabile il certificato manualmente se

Il certificato non è stato visualizzato in tale policy.
Oppure
Si desidera che il processo venga spostato in modo più prevedibile, dopo aver ottenuto il (.cer) file.

IMPORTANTE Prima di procedere, consultare la sezione Informazioni correlate sezione di questo articolo per implicazioni relative alla fiducia di un certificato di terze parti.

Per non affidabile e senza firma Dll, si prevede che il fornitore del software fornisca un codice con firma digitale, in quanto si tratta di uno standard di mercato per l'identificazione del software rilasciato. Nei casi in cui i fornitori non possono o non sono conformi, Assistenza tecnica può aiutarti. È necessario fornire le dll senza firma che MfeSysPrep.exe identificati come iniettori e MfeSysPrep registro che mostra l'iniezione. Utilizzando queste informazioni, McAfee Enterprise prenderà in considerazione l'aggiunta della DLL senza firma all'interno del MfeSysPrep utilità, per aiutarvi a risolvere problemi quali le installazioni ENS a causa della presenza dell'applicazione di terze parti. Non include applicazioni come il software antivirus che svolge la stessa funzione di ENS.

IMPORTANTE Prima di poter aggiungere l'affidabilità a una DLL di terze parti, è necessario inviare la DLL a McAfee Labs come esempio per confermare che non è dannoso. Per istruzioni, consultare: KB85567-inviare potenziali falsi positivi dal prodotto o tramite GTI a McAfee Labs. Includere le seguenti informazioni quando si inviano tali esempi di DLL:

Produttore del software
Eseguibile o processo padre
Questa applicazione è interna o pubblicamente disponibile?
Breve descrizione della funzione e dello scopo del software, inclusa la DLL inviata

Informazioni correlate

Implicazioni di sicurezza per la fiducia di un certificato digitale di terze parti:

Ci sono implicazioni di sicurezza accettate dalla fiducia di un certificato di terze parti:

L'utente accetta che qualsiasi codice firmato dal certificato di terze parti sarà considerato affidabile per interagire con McAfee processi aziendali, file, registro e tutti gli altri oggetti McAfee protetti dall'azienda.
L'attività file generata dai processi firmati con il certificato di terze parti potrebbe non essere sottoposta a scansione.
L'utente comprende che qualsiasi prodotto o codice rilasciato dallo stesso fornitore, se utilizza lo stesso certificato digitale, erediterà automaticamente le stesse indennità.
L'utente comprende che qualsiasi prodotto o codice rilascia dallo stesso fornitore, utilizzando un certificato digitale diverso, che deve anche essere considerato affidabile per ottenere gli stessi risultati.

Dichiarazione di non responsabilità

Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.

Prodotti interessati

Configuration
Endpoint Security Threat Prevention 10.7.x
Endpoint Security Threat Prevention 10.6.x
McAfee Agent 5.7.x
McAfee Agent 5.6.x
VirusScan Enterprise 8.8 (EOL)

Lingue:

Questo articolo è disponibile nelle seguenti lingue:

English United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified

Knowledge Center

Iniettori DLL di terze parti, deviazioni del codice e aggancio

Ambiente

Riepilogo

Problema 1

Problema 2

Causa

Soluzione 1

Soluzione 2

Informazioni correlate

Dichiarazione di non responsabilità

Prodotti interessati

Lingue:

Title

Title

Knowledge Center

Iniettori DLL di terze parti, deviazioni del codice e aggancio

Ambiente

Riepilogo

Problema 1

Problema 2

Causa

Soluzione 1

Soluzione 2

Informazioni correlate

Dichiarazione di non responsabilità

Prodotti interessati

Lingue:

Scegli la regione

Title

Title