来自 Elastic Security Labs 的主要威胁研究
8十月2025
2025 《弹性全球威胁报告》揭示了不断变化的威胁形势
2025 《弹性全球威胁报告》从现实世界的遥测数据中提供了有关对手趋势和防御者策略的最新见解。
精选
探测工程
查看全部
Inside the Axios supply chain compromise - one RAT to rule them all
Elastic Security Labs analyzes a supply chain compromise of the axios npm package delivering a unified cross-platform RAT
Elastic 发布针对 Axios 供应链漏洞的检测程序
针对 Elastic 发现的 Axios 供应链漏洞的猎杀和检测规则。
Linux& 云检测工程 - TeamPCP 容器攻击场景
本出版物提供了 TeamPCP 多阶段容器入侵的实际演练,演示了 Elastic 的 D4C 如何在攻击链的每个阶段都能发现运行时信号。
Linux& 云检测工程 - 开始使用 Defend for Containers (D4C)
本技术资料全面介绍了 Elastic 的 Defend for Containers (D4C) 集成,包括基于 Kubernetes 的部署、对 BPF 丰富的运行时遥测的分析,以及策略驱动的安全控制的实际应用,以监控容器化 Linux 环境中的活动并发出警报。
恶意软件分析
查看全部Inside the Axios supply chain compromise - one RAT to rule them all
Elastic Security Labs analyzes a supply chain compromise of the axios npm package delivering a unified cross-platform RAT
Fake Installers to Monero: A Multi-Tool Mining Operation
Elastic Security Labs dissects a long-running operation deploying RATs, cryptominers, and CPA fraud through fake installer lures, tracking its evolution across campaigns and Monero payouts.
Elastic Security Labs uncovers BRUSHWORM and BRUSHLOGGER
Elastic Security Labs observed two custom malware components targeting a South Asian financial institution: a modular backdoor with USB-based spreading and a DLL-side-loaded keylogger.
Illuminating VoidLink: Technical analysis of the VoidLink rootkit framework
Elastic Security Labs analyzes VoidLink, a sophisticated Linux malware framework that combines traditional Loadable Kernel Modules with eBPF to maintain persistence.
内部
查看全部
差异补丁至 SYSTEM
本研究利用 LLM 和补丁差异,详细介绍了 Windows DWM 中的 "免费使用后 "漏洞,演示了一种可靠的漏洞利用方法,可将低权限用户的权限升级到 SYSTEM。
永恒不变的幻象用云文件攻克内核
威胁行为者可以滥用一类漏洞,绕过安全限制,打破信任链。
FlipSwitch:一种新颖的系统调用挂钩技术
FlipSwitch 提供了绕过 Linux 内核防御的全新视角,揭示了网络攻击者和防御者之间持续斗争中的一种新技术。
调查神秘的畸形 Authenticode 签名
深入调查,追踪 Windows Authenticode 验证失败,从模糊的错误代码到未记录的内核例程。
威胁情报
查看全部Inside the Axios supply chain compromise - one RAT to rule them all
Elastic Security Labs analyzes a supply chain compromise of the axios npm package delivering a unified cross-platform RAT
Elastic 发布针对 Axios 供应链漏洞的检测程序
针对 Elastic 发现的 Axios 供应链漏洞的猎杀和检测规则。
Fake Installers to Monero: A Multi-Tool Mining Operation
Elastic Security Labs dissects a long-running operation deploying RATs, cryptominers, and CPA fraud through fake installer lures, tracking its evolution across campaigns and Monero payouts.
Elastic Security Labs uncovers BRUSHWORM and BRUSHLOGGER
Elastic Security Labs observed two custom malware components targeting a South Asian financial institution: a modular backdoor with USB-based spreading and a DLL-side-loaded keylogger.
Machine Learning
查看全部
使用新的 Kibana 集成检测域生成算法 (DGA) 活动
我们已将 DGA 检测包添加到 Kibana 中的 Integrations 应用中。 只需单击一下,您就可以安装并开始使用 DGA 模型和相关资产,包括摄取管道配置、异常检测作业和检测规则。
自动安全保护快速响应恶意软件
看看我们是如何在机器学习模型的帮助下改进流程,使我们能够根据新信息快速做出更新,并将这些保护措施传播给我们的用户。
利用新的弹性集成检测 "离地生活 "攻击
我们在 Kibana 的 "集成 "应用程序中添加了 "离地生活"(LotL)检测包。只需单击一下,您就可以安装并开始使用 ProblemChild 模型和相关资产,包括异常检测配置和检测规则。
使用 Elastic 识别信标式恶意软件
在本博客中,我们将指导用户使用我们的信标识别框架识别其环境中的信标恶意软件。
生成式 AI
查看全部
从您的人工智能代理开始使用弹性安全功能
使用开源 Agent Skills,无需离开集成开发环境,即可从零开始创建一个完整的弹性安全环境。
MCP 工具:自主代理的攻击向量和防御建议
本研究探讨了模型上下文协议(MCP)工具如何扩大自主代理的攻击面,详细介绍了工具中毒、协调注入和毯拉重新定义等利用载体以及实用的防御策略。
代理框架摘要
代理系统要求安全团队在自主性与一致性之间取得平衡,确保人工智能代理能够独立行动,同时保持目标一致性和可控性。
Elastic 通过标准化字段和集成推进 LLM 安全性
了解 Elastic 在 LLM 安全方面的最新进展,重点关注标准化的现场集成和增强的检测功能。了解如何采用这些标准来保护您的系统。
工具
查看全部
WinVisor – 基于管理程序的模拟器,适用于 Windows x64 用户模式可执行文件
WinVisor 是一款基于管理程序的模拟器,适用于 Windows x64 用户模式可执行文件,它利用 Windows Hypervisor Platform API 提供虚拟化环境,用于记录系统调用并实现内存自省。
STIXy 情况:ECSaping 您的威胁数据
结构化威胁数据通常使用 STIX 进行格式化。为了帮助将这些数据导入 Elasticsearch,我们发布了一个 Python 脚本,可将 STIX 转换为 ECS 格式,以便导入到您的堆栈中。
使用命名管道彻夜跳舞 - PIPEDANCE 客户端发布
在本出版物中,我们将介绍该客户端应用程序的功能以及如何开始使用该工具。
咔嚓,咔嚓...砰!使用 Detonate 自动化保护测试
为了使这一过程自动化并大规模测试我们的保护措施,我们建立了 Detonate 系统,该系统供安全研究工程师使用,以自动化方式衡量我们的 Elastic 安全解决方案的功效。