S'applique à : WatchGuard EPDR, WatchGuard EDR, WatchGuard EPP
Le tableau Activité des Exploits indique la technique d'exploit détectée ainsi que le nom du programme compromis.
Voici les différentes techniques surveillées :
Exploit/Metasploit
Détection de la signature shellcode Metaploit
Exploit/ReflectiveLoader
Chargement réflectif d'un exécutable (metasploit, cobalt strike, etc.)
Exploit/RemoteAPCInjection
Injection de code distant via APC
Exploit/DynamicExec
Exécution de code sur des pages sans permission d'exécution (32 bits uniquement)
Exploit/HookBypass
Contournement de hook des fonctions en cours d'exécution
Exploit/ShellcodeBehavior
Exécution de code sur des pages MEM_PRIVATE ne correspondant pas à un PEPE
Exploit/ROP1
Exécution d'API de gestion de la mémoire avec la pile hors des limites du thread
Exploit/IE_GodMode
Technique GodMode d'Internet Explorer
Exploit/RunPE
Techniques de creusement de processus/RunPE
Exploit/PsReflectiveLoader1
Powershell - Chargement réfléchi d'exécutable (mimikatz, etc.)
Exploit/PsReflectiveLoader2
Powershell - Chargement réfléchi d'exécutable (mimikatz, etc.)
Exploit/NetReflectiveLoader
Chargement NET réfléchi (Assembly.Load)
Exploit/JS2DOT
Technique JS2DOT
Exploit/Covenant
Cadre de détection Covenant
Exploit/DumpLsass
Image mémoire du processus lsass
Exploit/APC_Exec
Exécution de code local via APC
Pour exclure la détection d'une technique pour un programme spécifique :
- Sur la page Détection des Exploits, dans la section Action, sélectionnez Ne pas détecter à nouveau pour un programme spécifique.
