Investigación principal de amenazas de Elastic Security Labs
1 de octubre de 2024
Elastic publica el Reporte de amenazas globales 2024
Elastic Security Labs ha publicado el Reporte de amenazas globales de Elastic 2024 , que presenta las amenazas, tendencias y recomendaciones más apremiantes para ayudar a mantener a las organizaciones seguras durante el próximo año.
Destacado
Investigación de seguridad
Ver todo
AWS SNS Abuse: Data Exfiltration and Phishing
During a recent internal collaboration, we dug into publicly known SNS abuse attempts and our knowledge of the data source to develop detection capabilities.
Detección de keyloggers basados en teclas de acceso rápido usando una estructura de datos del kernel no documentada
En este artículo, exploramos qué son los keyloggers basados en teclas de acceso rápido y cómo detectarlos. Específicamente, explicamos cómo estos keyloggers interceptan las pulsaciones de teclas y, luego, presentamos una técnica de detección que aprovecha una tabla de teclas de acceso rápido no documentada en el espacio del kernel.
Linux Detection Engineering - The Grand Finale on Linux Persistence
By the end of this series, you'll have a robust knowledge of both common and rare Linux persistence techniques; and you'll understand how to effectively engineer detections for common and advanced adversary capabilities.
Emulating AWS S3 SSE-C Ransom for Threat Detection
In this article, we’ll explore how threat actors leverage Amazon S3’s Server-Side Encryption with Customer-Provided Keys (SSE-C) for ransom/extortion operations.
Análisis de malware
Ver todo
The Shelby Strategy
An analysis of REF8685's abuse of GitHub for C2 to evade defenses.
Shedding light on the ABYSSWORKER driver
Elastic Security Labs describes ABYSSWORKER, a malicious driver used with the MEDUSA ransomware attack-chain to disable anti-malware tools.
You've Got Malware: FINALDRAFT Hides in Your Drafts
Durante una investigación reciente (REF7707), Elastic Security Labs descubrió nuevo malware dirigido a un Ministerio de Relaciones Exteriores. El malware incluye un cargador personalizado y una puerta trasera con muchas características, incluido el uso de la API Graph de Microsoft para comunicaciones C2.
Bajo el SADBRIDGE con GOSAR: QUASAR recibe una reescritura en Golang
Elastic Security Labs comparte detalles sobre el cargador SADBRIDGE y la puerta trasera GOSAR, malware empleado en campañas dirigidas a víctimas de habla china.
Campañas
Ver todo
De Sudamérica al Sudeste Asiático: La frágil red de REF7707
REF7707 tenía como objetivo un Ministerio de Relaciones Exteriores de Sudamérica empleando nuevas familias de malware. Las tácticas de evasión inconsistentes y los errores de seguridad operacional expusieron infraestructura adicional propiedad del adversario.
PIKABOT, ¡te elijo a ti!
Elastic Security Labs observó nuevas campañas de PIKABOT, incluida una versión actualizada. PIKABOT es un cargador ampliamente desplegado que los actores maliciosos utilizan para distribuir cargas útiles adicionales.
Investigación inicial que expone a JOKERSPY
Explora JOKERSPY, una campaña recientemente descubierta que se dirige a instituciones financieras con puertas traseras de Python. En este artículo, se habla del reconocimiento, los patrones de ataque y los métodos para identificar JOKERSPY en tu red.
Respuesta de Elastic a SPECTRALVIPER
Elastic Security Labs descubrió las familias de malware P8LOADER, POWERSEAL y SPECTRALVIPER dirigidas a una agroindustria nacional vietnamita. REF2754 comparte malware y elementos motivacionales de los grupos de actividad REF4322 y APT32.
Grupos y tácticas
Ver todo
Apostar a los bots: investigar el malware de Linux, la criptominería y el abuso de las API de juegos de azar
La campaña REF6138 incluía criptominería, ataques DDoS y posible blanqueo de dinero a través de API de juegos de azar, lo que pone de relieve el uso por parte de los atacantes de malware en evolución y canales de comunicación sigilosos.
Código de conducta: intrusiones impulsadas por Python de la RPDC en redes seguras
Con la investigación del uso estratégico de Python por parte de la RPDC y la ingeniería social cuidadosamente diseñada, esta publicación arroja luz sobre cómo se violan redes altamente seguras con ataques cibernéticos efectivos y en evolución.
GrimResource - Consola de administración de Microsoft para acceso inicial y evasión
Los investigadores de Elastic descubrieron una nueva técnica, GrimResource, que permite la ejecución completa de código a través de archivos MSC especialmente diseñados. Suelta una tendencia de atacantes bien dotados de recursos que favorecen métodos innovadores de acceso inicial para evadir las defensas.
Mineros invisibles: revelar las operaciones de criptominería de GHOSTENGINE
Elastic Security Labs ha identificado REF4578, un conjunto de intrusión que incorpora varios módulos maliciosos y aprovecha los controladores vulnerables para desactivar soluciones de seguridad conocidas (EDRs) para la criptominería.
Perspectivas
WinVisor: un emulador basado en hipervisor para ejecutables en modo usuario de Windows x64
WinVisor es un emulador basado en hipervisor para ejecutables en modo de usuario de Windows x64 que utiliza la API de la Plataforma de Hipervisor de Windows para ofrecer un entorno virtualizado que permite hacer el logging de llamadas al sistema y realizar una introspección de memoria.
Tormenta en el horizonte: dentro del ecosistema IoT de AJCloud
Las cámaras Wi-Fi son populares debido a su precio accesible y conveniencia, pero muchas veces tienen vulnerabilidades de seguridad que pueden ser explotadas.
Kernel ETW es el mejor ETW
Esta investigación se centra en la importancia de los logs de auditoría nativos en el software seguro por diseño, lo que enfatiza la necesidad de contar con un log ETW a nivel de kernel sobre los ganchos en modo de usuario para mejorar las protecciones antimanipulación.
Olvídate de los controladores vulnerables, solo necesitas derechos de administrador
Bring Your Own Vulnerable Driver (BYOVD) es una técnica de ataque cada vez más popular en la que un agente de amenazas lleva un controlador firmado vulnerable conocido junto con su malware, lo carga en el kernel y luego lo explota para realizar alguna acción dentro del kernel que, de otro modo, no podría hacer. Empleado por actores de amenazas avanzados durante más de una década, BYOVD se está volviendo cada vez más común en ransomware y malware básico.
AI generativa
Ver todo
Elastic hace progresar la seguridad de LLM con campos e integraciones estandarizados
Descubre los últimos avances de Elastic en seguridad de LLM, centrados en integraciones de campo estandarizadas y capacidades de detección mejoradas. Descubre cómo la adopción de estos estándares puede proteger tus sistemas.
Incorporación de la seguridad en flujos de trabajo de LLM: el enfoque proactivo de Elastic
Sumérgete en la exploración de Elastic sobre la incorporación de seguridad directamente en los modelos de lenguaje grandes (LLM). Descubre nuestras estrategias para detectar y mitigar varias de las principales vulnerabilidades de OWASP en aplicaciones de LLM, lo que garantiza aplicaciones impulsadas por IA más seguras y protegidas.
Acelerar el proceso de detección de Elastic con los LLM
Obtén más información sobre cómo Elastic Security Labs se ha enfocado en acelerar nuestros flujos de trabajo de ingeniería de detección al aprovechar más capacidades de la IA generativa.
Uso de LLM y ESRE para encontrar sesiones de usuario similares
En nuestro artículo anterior, analizamos el uso del modelo de lenguaje grande (LLM) de GPT-4 para condensar las sesiones de usuario de Linux. En el contexto del mismo experimento, dedicamos un tiempo a examinar las sesiones que compartían similitudes. Posteriormente, estas sesiones similares pueden ayudar a los analistas a identificar actividades sospechosas relacionadas.
Herramientas
Ver todo
Situaciones de STIX: Hacer ECScapar tus datos de amenazas
Los datos estructurados de amenazas se suelen formatear con STIX. Para poder obtener estos datos en Elasticsearch, lanzamos un script de Python que convierte STIX a un formato ECS para que se ingiera en tu pila.
Entre la maleza: cómo ejecutamos Detonate
Analiza la implementación técnica del sistema Detonate, incluida la creación de sandbox, la tecnología de soporte, la recopilación de telemetría y cómo hacer explotar cosas.
Clic, clic... ¡bum! Automatizar las pruebas de protección con Detonate
Para automatizar este proceso y probar nuestras protecciones a escala, creamos Detonate, un sistema que usan los ingenieros de investigación de seguridad para medir la eficacia de nuestra solución Elastic Security de manera automatizada.
Desempacar ICEDID
ICEDID es conocido por empaquetar sus cargas útiles empleando formatos de archivo personalizados y un esquema de cifrado personalizado. Estamos lanzando un conjunto de herramientas para automatizar el proceso de desempaquetado y ayudar a los analistas y a la comunidad a responder a ICEDID.