Primäre Bedrohungsforschung von Elastic Security Labs
1. Oktober 2024
Elastic veröffentlicht 2024 Global Threat Report
Elastic Security Labs hat den 2024 Elastic Global Threat Report veröffentlicht, der die dringendsten Bedrohungen, Trends und Empfehlungen aufzeigt, um Unternehmen für das kommende Jahr zu schützen.
Für Sie ausgewählt
Security-Research
Alle anzeigen
ホットキー型キーロガーの検知未公開のカーネルデータ構造を使って
本記事では、ホットキー型キーロガーとは何かについてと、その検知方法について紹介します。具体的には、ホットキー型キーロガーがどのようにしてキー入力を盗み取るのかを解説した後、カーネルレベルに存在する未公開(Undocumented)のホットキーテーブルを活用した検知手法について説明します。
Detecting Hotkey-Based Keyloggers Using an Undocumented Kernel Data Structure
In this article, we explore what hotkey-based keyloggers are and how to detect them. Specifically, we explain how these keyloggers intercept keystrokes, then present a detection technique that leverages an undocumented hotkey table in kernel space.
Linux Detection Engineering - The Grand Finale on Linux Persistence
By the end of this series, you'll have a robust knowledge of both common and rare Linux persistence techniques; and you'll understand how to effectively engineer detections for common and advanced adversary capabilities.
Emulating AWS S3 SSE-C Ransom for Threat Detection
In this article, we’ll explore how threat actors leverage Amazon S3’s Server-Side Encryption with Customer-Provided Keys (SSE-C) for ransom/extortion operations.
Malware-Analyse
Alle anzeigen
You've Got Malware: FINALDRAFT Hides in Your Drafts
During a recent investigation (REF7707), Elastic Security Labs discovered new malware targeting a foreign ministry. The malware includes a custom loader and backdoor with many features including using Microsoft’s Graph API for C2 communications.
Unter der SADBRIDGE mit GOSAR: QUASAR erhält eine Golang-Überarbeitung
Elastic Security Labs share details about the SADBRIDGE loader and GOSAR backdoor, malware used in campaigns targeting Chinese-speaking victims.
Entfernung der Krallen von PUMAKIT
PUMAKIT ist ein hochentwickeltes Loadable Kernel Module (LKM) Rootkit, das fortschrittliche Stealth-Mechanismen zur Verbergung seiner Präsenz und Aufrechterhaltung der Kommunikation mit Command-and-Control-Servern einsetzt.
Katz and Mouse Game: MaaS Infostealers Adapt to Patched Chrome Defenses
Elastic Security Labs breaks down bypass implementations from the infostealer ecosystem’s reaction to Chrome 127's Application-Bound Encryption scheme.
Kampagnen
Alle anzeigen
From South America to Southeast Asia: The Fragile Web of REF7707
REF7707 targeted a South American foreign ministry using novel malware families. Inconsistent evasion tactics and operational security missteps exposed additional adversary-owned infrastructure.
PIKABOT, ich wähle Sie!
Elastic Security Labs hat neue PIKABOT-Kampagnen beobachtet, darunter eine aktualisierte Version. PIKABOT ist ein weit verbreiteter Loader, den böswillige Akteure zum Verteilen zusätzlicher Nutzdaten verwenden.
Erste Untersuchungen entlarven JOKERSPY
Erkunden Sie JOKERSPY, eine kürzlich entdeckte Kampagne, die mit Python-Hintertüren auf Finanzinstitute abzielt. Dieser Artikel behandelt Aufklärung, Angriffsmuster und Methoden zur Identifizierung von JOKERSPY in Ihrem Netzwerk.
Elastische Anhänger SPECTRALVIPER
Elastic Security Labs hat die Malware-Familien P8LOADER, POWERSEAL und SPECTRALVIPER entdeckt, die auf ein nationales vietnamesisches Agrarunternehmen abzielen. REF2754 hat die gleichen Malware- und Motivationselemente wie die Aktivitätsgruppen REF4322 und APT32.
Gruppen und Taktiken
Alle anzeigen
Wetten auf Bots: Untersuchung von Linux-Malware, Krypto-Mining und Missbrauch von Glücksspiel-APIs
Die Kampagne REF6138 beinhaltete Kryptomining, DDoS-Angriffe und potenzielle Geldwäsche über Glücksspiel-APIs und verdeutlichte den Einsatz sich ständig weiterentwickelnder Malware und versteckter Kommunikationskanäle durch die Angreifer.
Verhaltenskodex: Mit Python betriebene Einbrüche der Demokratischen Volksrepublik Korea in gesicherte Netzwerke
Diese Publikation untersucht den strategischen Einsatz von Python und sorgfältig ausgearbeitetem Social Engineering durch die Demokratische Volksrepublik Korea und beleuchtet, wie sie mit immer neuen und effektiven Cyberangriffen in hochsichere Netzwerke einbricht.
GrimResource - Microsoft Management Console für den Erstzugriff und die Umgehung
Forscher von Elastic haben eine neue Technik namens GrimResource entdeckt, die die vollständige Codeausführung über speziell gestaltete MSC-Dateien ermöglicht. Dies unterstreicht den Trend, dass gut ausgerüstete Angreifer innovative Erstzugriffsmethoden bevorzugen, um die Verteidigungsmaßnahmen zu umgehen.
Unsichtbare Miner: Enthüllung der Krypto-Mining-Aktivitäten von GHOSTENGINE
Elastic Security Labs hat REF4578 identifiziert, ein Intrusion-Set, das mehrere bösartige Module enthält und anfällige Treiber nutzt, um bekannte Sicherheitslösungen (EDRs) für Krypto-Mining zu deaktivieren.
Perspektiven
WinVisor – Ein Hypervisor-basierter Emulator für Windows x64-Anwendungen im Benutzermodus
WinVisor ist ein Hypervisor-basierter Emulator für Windows-x64-Benutzermodusprogramme, der die Windows Hypervisor Platform API zur Bereitstellung einer virtualisierten Umgebung für die Protokollierung von Systemaufrufen und die Möglichkeit der Speicherintrospektion nutzt.
Sturm am Horizont: Einblicke in das AJCloud IoT-Ökosystem
WLAN-Kameras sind aufgrund ihrer Erschwinglichkeit und Bequemlichkeit beliebt, weisen aber oft Sicherheitslücken auf, die ausgenutzt werden können.
Kernel ETW ist das beste ETW
Diese Studie konzentriert sich auf die Bedeutung nativer Auditprotokolle in Secure-by-Design-Software und betont die Notwendigkeit, ETW-Logging auf Kernel-Ebene über Hooks im Benutzermodus durchzuführen, um den Manipulationsschutz zu verbessern.
Vergessen Sie anfällige Treiber – Admin ist alles, was Sie brauchen
„Bring Your Own Vulnerable Driver“ (BYOVD) ist eine zunehmend beliebte Angriffstechnik, bei der ein Bedrohungsakteur zusammen mit seiner Malware einen bekanntermaßen anfälligen signierten Treiber mitbringt, ihn in den Kernel lädt und ihn dann ausnutzt, um innerhalb des Kernels eine Aktion auszuführen, die er andernfalls nicht durchführen könnte. BYOVD wird seit über einem Jahrzehnt von hochentwickelten Bedrohungsakteuren eingesetzt und kommt bei Ransomware und handelsüblicher Malware immer häufiger vor.
Generative KI
Alle anzeigen
Elastic erweitert die LLM-Sicherheit mit standardisierten Feldern und Integrationen
Entdecken Sie die neuesten Fortschritte von Elastic im Bereich LLM-Sicherheit mit Schwerpunkt auf standardisierten Feldintegrationen und verbesserten Erkennungsfunktionen. Erfahren Sie, wie Sie Ihre Systeme durch die Einführung dieser Standards schützen können.
Einbettung von Sicherheit in LLM-Workflows: Der proaktive Ansatz von Elastic
Erfahren Sie, wie Elastic die Sicherheit direkt in große Sprachmodelle (LLMs) einbettet. Entdecken Sie unsere Strategien zur Erkennung und Entschärfung einiger der wichtigsten OWASP-Schwachstellen in LLM-Anwendungen und sorgen Sie so für sicherere KI-gesteuerte Anwendungen.
Beschleunigung der Elastic-Erkennungsmethoden mit LLMs
Erfahren Sie mehr darüber, wie Elastic Security Labs sich darauf konzentriert hat, unsere Erkennungs-Engineering-Workflows durch die Nutzung generativer KI-Funktionen zu beschleunigen.
Verwenden von LLMs und ESRE zum Suchen ähnlicher Benutzersitzungen
In unserem letzten Artikel haben wir uns mit der Verwendung des GPT-4 Large Language Model (LLM) beschäftigt, um Linux-Benutzersitzungen zu verdichten. Im Rahmen desselben Experiments haben wir einige Zeit darauf verwendet, Sitzungen zu untersuchen, die Ähnlichkeiten aufweisen. Diese ähnlichen Sitzungen können den Analysten anschließend dabei helfen, verdächtige Aktivitäten zu identifizieren.
Tools
Alle anzeigen
STIXy Situationen: Entkommen Sie Ihren Bedrohungsdaten
Strukturierte Bedrohungsdaten werden in der Regel mit STIX formatiert. Um Ihnen dabei zu helfen, diese Daten in Elasticsearch zu übertragen, veröffentlichen wir ein Python-Skript, das STIX in ein ECS-Format konvertiert, das Sie in Ihren Stack einfügen können.
Ins Detail: Wie wir Detonate betreiben
Erkunden Sie die technische Implementierung des Detonate-Systems, einschließlich der Erstellung von Sandkästen, der unterstützenden Technologie, der Telemetrieerfassung und wie man Dinge in die Luft jagt.
Klick, Klick... Bumm! Automatisiertes Testen von Schutzmaßnahmen mit Detonate
Um diesen Prozess zu automatisieren und unsere Schutzmaßnahmen im großen Maßstab zu testen, haben wir Detonate entwickelt, ein System, mit dem Sicherheitsforscher die Wirksamkeit unserer Elastic Security-Lösung automatisiert messen.
Auspacken von ICEDID
ICEDID verpackt seine Nutzlast in benutzerdefinierten Dateiformaten und mit einem eigenen Verschlüsselungsschema. Wir veröffentlichen eine Reihe von Tools, die den Entpackungsprozess automatisieren und Analysten und der Community helfen, auf ICEDID zu reagieren.