来自 Elastic Security Labs 的主要威胁研究
1十月2024
Elastic 发布 2024 年全球威胁报告
Elastic Security Labs 发布了《 2024 年 Elastic 全球威胁报告》,揭示了最紧迫的威胁、趋势和建议,旨在帮助确保组织在未来一年的安全。
安全性研究
查看全部
AWS SNS Abuse: Data Exfiltration and Phishing
During a recent internal collaboration, we dug into publicly known SNS abuse attempts and our knowledge of the data source to develop detection capabilities.
使用未公开的内核数据结构检测基于热键的键盘记录器
在本文中,我们将探讨什么是基于热键的键盘记录器以及如何检测它们。具体来说,我们将解释这些键盘记录程序如何拦截按键,然后介绍一种利用内核空间中未公开的热键表的检测技术。
Linux Detection Engineering - The Grand Finale on Linux Persistence
By the end of this series, you'll have a robust knowledge of both common and rare Linux persistence techniques; and you'll understand how to effectively engineer detections for common and advanced adversary capabilities.
Emulating AWS S3 SSE-C Ransom for Threat Detection
In this article, we’ll explore how threat actors leverage Amazon S3’s Server-Side Encryption with Customer-Provided Keys (SSE-C) for ransom/extortion operations.
恶意软件分析
查看全部
The Shelby Strategy
An analysis of REF8685's abuse of GitHub for C2 to evade defenses.
Shedding light on the ABYSSWORKER driver
Elastic Security Labs describes ABYSSWORKER, a malicious driver used with the MEDUSA ransomware attack-chain to disable anti-malware tools.
You've Got Malware: FINALDRAFT Hides in Your Drafts
在最近的一次调查(REF7707)中,Elastic Security Labs 发现了针对外交部的新型恶意软件。该恶意软件包括一个自定义加载器和后门,具有许多功能,包括使用 Microsoft 的 Graph API 进行 C2 通信。
在 SADBRIDGE 与 GOSAR 的协作下:QUASAR 进行了 Golang 重写
Elastic 安全实验室分享了有关 SADBRIDGE 加载器和 GOSAR 后门的详细信息,这些恶意软件用于针对中文受害者的活动。
营销活动
查看全部
从南美到东南亚:REF7707 的脆弱网络
REF7707 使用新型恶意软件家族瞄准了南美外交部。不一致的逃避策略和操作安全失误暴露了更多对手拥有的基础设施。
PIKABOT,我选择你!
Elastic Security Labs 观察到新的 PIKABOT 活动,包括一个更新版本。PIKABOT 是一种广泛部署的加载程序,恶意行为者利用它来分发额外的有效负载。
揭露 JOKERSPY 的初步研究
探索 JOKERSPY,这是一项最近发现的针对使用 Python 后门的金融机构的活动。本文介绍了侦察、攻击模式以及识别网络中 JOKERSPY 的方法。
Elastic 对 SPECTRALVIPER 施展“魔力”
Elastic Security Labs 发现了 P8LOADER、POWERSEAL 和 SPECTRALVIPER 系列恶意软件,其目标是越南的一家国家农业企业。REF2754 与 REF4322 和 APT32 活动组共享恶意软件和动机元素。
群组与策略
查看全部
押注机器人:调查 Linux 恶意软件、加密货币挖矿和博彩 API 滥用
REF6138 活动涉及加密货币挖矿、DDoS 攻击和通过博彩 API 进行的潜在洗钱,凸显了攻击者使用不断发展的恶意软件和隐蔽的通信渠道。
行为规范:朝鲜利用 Python 入侵安全网络
本出版物调查了朝鲜对 Python 和精心设计的社交工程的战略性使用,揭示了他们如何通过不断发展和有效的网络攻击攻破高度安全的网络。
GrimResource - 用于初始访问和规避的 Microsoft 管理控制台
Elastic 研究人员发现了一种名为 GrimResource 的新技术,它允许通过特制的 MSC 文件执行全部代码。这凸显了一种趋势,即资源充足的攻击者倾向于采用创新的初始访问方法来躲避防御系统。
隐形矿工:揭秘 GHOSTENGINE 的加密货币挖矿业务
Elastic Security Labs 发现了 REF4578,这是一个包含多个恶意模块的入侵集,利用易受攻击的驱动程序来禁用已知的安全解决方案 (EDR),以进行加密货币挖矿。
视角
WinVisor – 基于管理程序的模拟器,适用于 Windows x64 用户模式可执行文件
WinVisor 是一款基于管理程序的模拟器,适用于 Windows x64 用户模式可执行文件,它利用 Windows Hypervisor Platform API 提供虚拟化环境,用于记录系统调用并实现内存自省。
即将来临的风暴:深入探讨 AJCloud 物联网生态系统
Wi-Fi 摄像头因其经济实惠和方便快捷而广受欢迎,但往往存在可被利用的安全漏洞。
内核 ETW 是最好的 ETW
这项研究重点关注本机审计日志在安全设计软件中的重要性,强调内核级 ETW 日志比用户模式钩子更有必要,以增强防篡改保护。
忘记易受攻击的驱动程序 - 您只需要管理员
自带漏洞驱动程序(BYOVD)是一种日益流行的攻击技术,威胁者将已知漏洞的签名驱动程序与恶意软件一起加载到内核中,然后利用它在内核中执行一些原本无法执行的操作。十多年来,高级威胁行为者一直在使用 BYOVD,它在勒索软件和商品恶意软件中越来越常见。
生成式 AI
查看全部
Elastic 通过标准化字段和集成推进 LLM 安全性
了解 Elastic 在 LLM 安全方面的最新进展,重点关注标准化的现场集成和增强的检测功能。了解如何采用这些标准来保护您的系统。
在 LLM 工作流中嵌入安全性:Elastic 的主动方法
深入了解 Elastic 在大型语言模型 (LLM) 中直接嵌入安全性的探索。了解我们在 LLM 应用程序中检测和缓解几个顶级 OWASP 漏洞的策略,确保 AI 驱动型的应用程序更加安全可靠。
利用 LLM 加速 Elastic 检测谍报技术
详细了解 Elastic Security Labs 如何通过利用更多生成式 AI 功能来加速我们的检测工程工作流。
使用 LLM 和 ESRE 查找相似的用户会话
在上一篇文章中,我们探讨了如何使用 GPT-4 大型语言模型 (LLM) 来压缩 Linux 用户会话。在同一个实验中,我们花了一些时间来检查具有相似之处的会话。这些类似的会话随后可以帮助分析人员识别相关的可疑活动。
工具
查看全部
STIXy 情况:ECSaping 您的威胁数据
结构化威胁数据通常使用 STIX 进行格式化。为了帮助将这些数据导入 Elasticsearch,我们发布了一个 Python 脚本,可将 STIX 转换为 ECS 格式,以便导入到您的堆栈中。
深入细节:我们如何运行 Detonate
探索 Detonate 系统的技术实现,包括沙箱创建、支持技术、遥测收集以及如何引爆物品。
咔嚓,咔嚓...砰!使用 Detonate 自动化保护测试
为了使这一过程自动化并大规模测试我们的保护措施,我们建立了 Detonate 系统,该系统供安全研究工程师使用,以自动化方式衡量我们的 Elastic 安全解决方案的功效。
ICEDID 简介
众所周知,ICEDID 使用自定义文件格式和自定义加密方案来打包其有效负载。我们正在发布一套工具,以实现解包过程的自动化,并帮助分析师和社区应对 ICEDID。