Recherche principale sur les menaces d'Elastic Security Labs
1er octobre 2024
Elastic publie le rapport 2024 sur les menaces mondiales
Elastic Security Labs a publié le rapport 2024 d'Elastic sur les menaces mondiales, qui présente les menaces les plus pressantes, les tendances et les recommandations visant à assurer la sécurité des entreprises pour l'année à venir.
En vedette
Recherche sur la sécurité
Voir tout
Débordement d'overflow : lorsque votre imprimante renverse plus que de l'encre
Elastic Security Labs présente des stratégies de détection et d'atténuation des vulnérabilités du système d'impression CUPS, qui permettent à des attaquants non authentifiés d'exploiter le système via IPP et mDNS, ce qui entraîne l'exécution de code à distance (RCE) sur les systèmes basés sur UNIX tels que Linux, macOS, BSD, ChromeOS et Solaris.
Tempête à venir : au cœur de l'écosystème IoT d'AJCloud
Les caméras Wi-Fi sont populaires en raison de leur prix abordable et de leur commodité, mais elles présentent souvent des vulnérabilités de sécurité qui peuvent être exploitées.
Code de conduite : les intrusions de la RPDC dans les réseaux sécurisés alimentées par Python
En étudiant l'utilisation stratégique de Python et l'ingénierie sociale soigneusement élaborée par la RPDC, cette publication met en lumière la manière dont les réseaux hautement sécurisés sont violés par des cyberattaques évolutives et efficaces.
Démantèlement du contrôle intelligent des applications
Cet article explorera Windows Smart App Control et SmartScreen en tant qu'étude de cas pour étudier les contournements des systèmes basés sur la réputation, puis présentera les détections permettant de remédier à ces faiblesses.
Analyse des malwares
Voir tout
Katz and Mouse Game: MaaS Infostealers Adapt to Patched Chrome Defenses
Elastic Security Labs breaks down bypass implementations from the infostealer ecosystem’s reaction to Chrome 127's Application-Bound Encryption scheme.
Tricks and Treats: GHOSTPULSE’s new pixel-level deception
The updated GHOSTPULSE malware has evolved to embed malicious data directly within pixel structures, making it harder to detect and requiring new analysis and detection techniques.
Parier sur les robots : enquête sur les malwares Linux, le minage de cryptomonnaies et les abus d'API de jeu
La campagne REF6138 impliquait du minage de cryptomonnaies, des attaques DDoS et un éventuel blanchiment d'argent via des API de jeu, mettant en lumière l'utilisation par les attaquants de logiciels malveillants évolutifs et de canaux de communication furtifs.
Code de conduite : les intrusions de la RPDC dans les réseaux sécurisés alimentées par Python
En étudiant l'utilisation stratégique de Python et l'ingénierie sociale soigneusement élaborée par la RPDC, cette publication met en lumière la manière dont les réseaux hautement sécurisés sont violés par des cyberattaques évolutives et efficaces.
Campagnes
Voir tout
PIKABOT, je vous choisis !
Elastic Security Labs a observé de nouvelles campagnes PIKABOT, y compris une version mise à jour. PIKABOT est un loader largement déployé que les acteurs malveillants utilisent pour distribuer des charges utiles supplémentaires.
Recherche initiale exposant JOKERSPY
Découvrez JOKERSPY, une campagne récemment découverte qui cible les institutions financières avec des portes dérobées en Python. Cet article traite de la reconnaissance, des modèles d'attaque et des méthodes permettant d'identifier JOKERSPY sur votre réseau.
Breloques élastiques SPECTRALVIPER
Elastic Security Labs a découvert les familles de logiciels malveillants P8LOADER, POWERSEAL et SPECTRALVIPER ciblant une entreprise agroalimentaire vietnamienne. REF2754 partage des logiciels malveillants et des éléments de motivation des groupes d’activité REF4322 et APT32.
Le logiciel malveillant PHOREAL cible le secteur financier de l'Asie du Sud-Est
Elastic Security a découvert le logiciel malveillant PHOREAL, qui cible les organisations financières d'Asie du Sud-Est, en particulier celles du secteur financier vietnamien.
Groupes et tactique
Voir toutParier sur les robots : enquête sur les malwares Linux, le minage de cryptomonnaies et les abus d'API de jeu
La campagne REF6138 impliquait du minage de cryptomonnaies, des attaques DDoS et un éventuel blanchiment d'argent via des API de jeu, mettant en lumière l'utilisation par les attaquants de logiciels malveillants évolutifs et de canaux de communication furtifs.
Code de conduite : les intrusions de la RPDC dans les réseaux sécurisés alimentées par Python
En étudiant l'utilisation stratégique de Python et l'ingénierie sociale soigneusement élaborée par la RPDC, cette publication met en lumière la manière dont les réseaux hautement sécurisés sont violés par des cyberattaques évolutives et efficaces.
GrimResource - Console de gestion Microsoft pour l'accès initial et l'évasion
Les chercheurs d'Elastic ont découvert une nouvelle technique, GrimResource, qui permet l'exécution complète de code via des fichiers MSC spécialement conçus. Elle souligne la tendance des attaquants disposant de ressources importantes à privilégier des méthodes d'accès initiales innovantes pour échapper aux défenses.
Mineurs invisibles : dévoilement des opérations de minage de crypto-monnaies de GHOSTENGINE
Elastic Security Labs a identifié REF4578, un ensemble d'intrusions incorporant plusieurs modules malveillants et exploitant des pilotes vulnérables pour désactiver des solutions de sécurité connues (EDR) pour le minage de crypto-monnaie.
Perspectives
Tempête à venir : au cœur de l'écosystème IoT d'AJCloud
Les caméras Wi-Fi sont populaires en raison de leur prix abordable et de leur commodité, mais elles présentent souvent des vulnérabilités de sécurité qui peuvent être exploitées.
Kernel ETW est le meilleur ETW
Cette recherche met l'accent sur l'importance des logs d'audit natifs dans les logiciels sécurisés dès la conception, en insistant sur la nécessité d'un logging ETW au niveau du noyau plutôt que de hooks en mode utilisateur afin de renforcer la protection contre les manipulations.
Oubliez les pilotes vulnérables - Admin est tout ce dont vous avez besoin
« Bring Your Own Vulnerable Driver » (BYOVD) est une technique d'attaque de plus en plus populaire qui consiste à intégrer un pilote signé connu pour sa vulnérabilité à son logiciel malveillant, à le charger dans le noyau, puis à l'exploiter pour effectuer une action sur le noyau qu'il n'aurait pas pu effectuer autrement. Utilisé par des acteurs de menace avancés depuis plus d’une décennie, le BYOVD est de plus en plus courant dans les ransomwares et les malwares de base.
IA générative
Voir tout
Elastic améliore la sécurité du LLM avec des champs et des intégrations standardisés
Découvrez les dernières avancées d'Elastic en matière de sécurité LLM, en vous concentrant sur les intégrations de champs standardisés et les capacités de détection améliorées. Découvrez comment l'adoption de ces normes peut protéger vos systèmes.
Intégrer la sécurité aux workflow LLM : l'approche proactive d'Elastic
Découvrez comment Elastic a intégré la sécurité directement dans les Large Language Models (LLM). Découvrez nos stratégies de détection et d'atténuation de plusieurs des principales vulnérabilités OWASP dans les applications LLM, afin de garantir des applications pilotées par l'IA plus sûres et plus sécurisées.
Accélérer la détection élastique des échanges avec les LLM
Découvrez comment Elastic Security Labs s’est concentré sur l’accélération de ses workflows d’ingénierie de détection en exploitant des capacités d’IA plus génératives.
Utiliser les LLM et ESRE pour trouver des sessions utilisateur similaires
Dans notre article précédent, nous avons exploré l’utilisation du modèle de langage étendu (LLM) GPT-4 pour condenser les sessions utilisateur Linux. Dans le cadre de la même expérience, nous avons consacré du temps à l'examen des sessions présentant des similitudes. Ces sessions similaires peuvent ensuite aider les analystes à identifier des activités suspectes connexes.
Outils
Voir tout
Situations STIXy : échapper à vos données de menaces
Les données de menace structurées sont généralement formatées à l’aide de STIX. Pour vous aider à intégrer ces données à Elasticsearch, nous publions un script Python qui convertit STIX au format ECS à intégrer dans votre stack.
Les mains dans le cambouis : comment nous exécutons Detonate
Explorez la mise en œuvre technique du système Detonate, y compris la création d'un sandbox, la technologie associée, la collecte de données télémétriques et la manière de faire exploser des objets.
Cliquez, cliquez... Boom ! Automatisation des tests de protection avec Detonate
Pour automatiser ce processus et tester nos protections à grande échelle, nous avons créé Detonate, un système utilisé par les ingénieurs en recherche de sécurité pour mesurer l'efficacité de notre solution Elastic Security de manière automatisée.
Décompresser ICEDID
L'ICEDID est connu pour emballer ses charges utiles en utilisant des formats de fichiers et un système de cryptage personnalisés. Nous publions un ensemble d'outils pour automatiser le processus de déballage et aider les analystes et la communauté à répondre à l'ICEDID.