Primäre Bedrohungsforschung von Elastic Security Labs
1. Oktober 2024
Elastic veröffentlicht 2024 Global Threat Report
Elastic Security Labs hat den 2024 Elastic Global Threat Report veröffentlicht, der die dringendsten Bedrohungen, Trends und Empfehlungen aufzeigt, um Unternehmen für das kommende Jahr zu schützen.
Für Sie ausgewählt
Security-Research
Alle anzeigen
AWS SNS-Missbrauch: Datenexfiltration und Phishing
Im Rahmen einer kürzlich durchgeführten internen Zusammenarbeit haben wir uns mit öffentlich bekannten SNS-Missbrauchsversuchen und unserem Wissen über die Datenquelle befasst, um Erkennungsfunktionen zu entwickeln.
Erkennung von Hotkey-basierten Keyloggern unter Verwendung einer nicht dokumentierten Kernel-Datenstruktur
In diesem Artikel untersuchen wir, was Hotkey-basierte Keylogger sind und wie man sie erkennen kann. Insbesondere erklären wir, wie diese Keylogger Tastatureingaben abfangen, und präsentieren dann eine Erkennungstechnik, die eine undokumentierte Hotkey-Tabelle im Kernel-Space nutzt.
Linux Detection Engineering - Das große Finale zum Thema Linux-Persistenz
Am Ende dieser Reihe verfügen Sie über fundierte Kenntnisse sowohl der gängigen als auch der seltenen Linux-Persistenztechniken. Und Sie wissen, wie Sie Erkennungen für gängige und erweiterte Angreiferfunktionen effektiv entwickeln.
Emulieren von AWS S3 SSE-C Ransom für die Erkennung von Bedrohungen
In diesem Artikel untersuchen wir, wie Bedrohungsakteure die serverseitige Verschlüsselung mit kundenseitigen Schlüsseln (SSE-C) von Amazon S3 für Lösegeld-/Erpressungsoperationen nutzen.
Malware-Analyse
Alle anzeigen
Outlaw Linux Malware: Hartnäckig, unausgereift und überraschend effektiv
Outlaw ist eine persistente Linux-Malware, die einfache Brute-Force- und Mining-Taktiken nutzt, um ein langlebiges Botnet aufrechtzuerhalten.
Die Shelby-Strategie
Eine Analyse des Missbrauchs von GitHub für C2 durch REF8685, um Abwehrmaßnahmen zu umgehen.
Licht ins Dunkel bringen den ABYSSWORKER-Treiber
Elastic Security Labs beschreibt ABYSSWORKER, einen bösartigen Treiber, der mit der Ransomware-Angriffskette MEDUSA verwendet wird, um Anti-Malware-Tools zu deaktivieren.
Sie haben Malware: FINALDRAFT versteckt sich in Ihren Entwürfen
Bei einer kürzlich durchgeführten Untersuchung (REF7707) entdeckten die Elastic Security Labs neue Malware, die auf ein ausländisches Ministerium abzielte. Die Malware enthält einen benutzerdefinierten Loader und eine Backdoor mit vielen Funktionen, einschließlich der Verwendung der Graph-API von Microsoft für die C2-Kommunikation.
Kampagnen
Alle anzeigen
Von Südamerika bis Südostasien: Das fragile Netz der REF7707
REF7707 ein südamerikanisches Außenministerium mit neuartigen Malware-Familien ins Visier genommen. Inkonsistente Umgehungstaktiken und Fehltritte bei der operativen Sicherheit legten zusätzliche Infrastrukturen im Besitz von Angreifern offen.
PIKABOT, ich wähle Sie!
Elastic Security Labs hat neue PIKABOT-Kampagnen beobachtet, darunter eine aktualisierte Version. PIKABOT ist ein weit verbreiteter Loader, den böswillige Akteure zum Verteilen zusätzlicher Nutzdaten verwenden.
Erste Untersuchungen entlarven JOKERSPY
Erkunden Sie JOKERSPY, eine kürzlich entdeckte Kampagne, die mit Python-Hintertüren auf Finanzinstitute abzielt. Dieser Artikel behandelt Aufklärung, Angriffsmuster und Methoden zur Identifizierung von JOKERSPY in Ihrem Netzwerk.
Elastische Anhänger SPECTRALVIPER
Elastic Security Labs hat die Malware-Familien P8LOADER, POWERSEAL und SPECTRALVIPER entdeckt, die auf ein nationales vietnamesisches Agrarunternehmen abzielen. REF2754 hat die gleichen Malware- und Motivationselemente wie die Aktivitätsgruppen REF4322 und APT32.
Gruppen und Taktiken
Alle anzeigen
Wetten auf Bots: Untersuchung von Linux-Malware, Krypto-Mining und Missbrauch von Glücksspiel-APIs
Die Kampagne REF6138 beinhaltete Kryptomining, DDoS-Angriffe und potenzielle Geldwäsche über Glücksspiel-APIs und verdeutlichte den Einsatz sich ständig weiterentwickelnder Malware und versteckter Kommunikationskanäle durch die Angreifer.
Verhaltenskodex: Mit Python betriebene Einbrüche der Demokratischen Volksrepublik Korea in gesicherte Netzwerke
Diese Publikation untersucht den strategischen Einsatz von Python und sorgfältig ausgearbeitetem Social Engineering durch die Demokratische Volksrepublik Korea und beleuchtet, wie sie mit immer neuen und effektiven Cyberangriffen in hochsichere Netzwerke einbricht.
GrimResource - Microsoft Management Console für den Erstzugriff und die Umgehung
Forscher von Elastic haben eine neue Technik namens GrimResource entdeckt, die die vollständige Codeausführung über speziell gestaltete MSC-Dateien ermöglicht. Dies unterstreicht den Trend, dass gut ausgerüstete Angreifer innovative Erstzugriffsmethoden bevorzugen, um die Verteidigungsmaßnahmen zu umgehen.
Unsichtbare Miner: Enthüllung der Krypto-Mining-Aktivitäten von GHOSTENGINE
Elastic Security Labs hat REF4578 identifiziert, ein Intrusion-Set, das mehrere bösartige Module enthält und anfällige Treiber nutzt, um bekannte Sicherheitslösungen (EDRs) für Krypto-Mining zu deaktivieren.
Perspektiven
WinVisor – Ein Hypervisor-basierter Emulator für Windows x64-Anwendungen im Benutzermodus
WinVisor ist ein Hypervisor-basierter Emulator für Windows-x64-Benutzermodusprogramme, der die Windows Hypervisor Platform API zur Bereitstellung einer virtualisierten Umgebung für die Protokollierung von Systemaufrufen und die Möglichkeit der Speicherintrospektion nutzt.
Sturm am Horizont: Einblicke in das AJCloud IoT-Ökosystem
WLAN-Kameras sind aufgrund ihrer Erschwinglichkeit und Bequemlichkeit beliebt, weisen aber oft Sicherheitslücken auf, die ausgenutzt werden können.
Kernel ETW ist das beste ETW
Diese Studie konzentriert sich auf die Bedeutung nativer Auditprotokolle in Secure-by-Design-Software und betont die Notwendigkeit, ETW-Logging auf Kernel-Ebene über Hooks im Benutzermodus durchzuführen, um den Manipulationsschutz zu verbessern.
Vergessen Sie anfällige Treiber – Admin ist alles, was Sie brauchen
„Bring Your Own Vulnerable Driver“ (BYOVD) ist eine zunehmend beliebte Angriffstechnik, bei der ein Bedrohungsakteur zusammen mit seiner Malware einen bekanntermaßen anfälligen signierten Treiber mitbringt, ihn in den Kernel lädt und ihn dann ausnutzt, um innerhalb des Kernels eine Aktion auszuführen, die er andernfalls nicht durchführen könnte. BYOVD wird seit über einem Jahrzehnt von hochentwickelten Bedrohungsakteuren eingesetzt und kommt bei Ransomware und handelsüblicher Malware immer häufiger vor.
Generative KI
Alle anzeigen
Elastic erweitert die LLM-Sicherheit mit standardisierten Feldern und Integrationen
Entdecken Sie die neuesten Fortschritte von Elastic im Bereich LLM-Sicherheit mit Schwerpunkt auf standardisierten Feldintegrationen und verbesserten Erkennungsfunktionen. Erfahren Sie, wie Sie Ihre Systeme durch die Einführung dieser Standards schützen können.
Einbettung von Sicherheit in LLM-Workflows: Der proaktive Ansatz von Elastic
Erfahren Sie, wie Elastic die Sicherheit direkt in große Sprachmodelle (LLMs) einbettet. Entdecken Sie unsere Strategien zur Erkennung und Entschärfung einiger der wichtigsten OWASP-Schwachstellen in LLM-Anwendungen und sorgen Sie so für sicherere KI-gesteuerte Anwendungen.
Beschleunigung der Elastic-Erkennungsmethoden mit LLMs
Erfahren Sie mehr darüber, wie Elastic Security Labs sich darauf konzentriert hat, unsere Erkennungs-Engineering-Workflows durch die Nutzung generativer KI-Funktionen zu beschleunigen.
Verwenden von LLMs und ESRE zum Suchen ähnlicher Benutzersitzungen
In unserem letzten Artikel haben wir uns mit der Verwendung des GPT-4 Large Language Model (LLM) beschäftigt, um Linux-Benutzersitzungen zu verdichten. Im Rahmen desselben Experiments haben wir einige Zeit darauf verwendet, Sitzungen zu untersuchen, die Ähnlichkeiten aufweisen. Diese ähnlichen Sitzungen können den Analysten anschließend dabei helfen, verdächtige Aktivitäten zu identifizieren.
Tools
Alle anzeigen
STIXy Situationen: Entkommen Sie Ihren Bedrohungsdaten
Strukturierte Bedrohungsdaten werden in der Regel mit STIX formatiert. Um Ihnen dabei zu helfen, diese Daten in Elasticsearch zu übertragen, veröffentlichen wir ein Python-Skript, das STIX in ein ECS-Format konvertiert, das Sie in Ihren Stack einfügen können.
Ins Detail: Wie wir Detonate betreiben
Erkunden Sie die technische Implementierung des Detonate-Systems, einschließlich der Erstellung von Sandkästen, der unterstützenden Technologie, der Telemetrieerfassung und wie man Dinge in die Luft jagt.
Klick, Klick... Bumm! Automatisiertes Testen von Schutzmaßnahmen mit Detonate
Um diesen Prozess zu automatisieren und unsere Schutzmaßnahmen im großen Maßstab zu testen, haben wir Detonate entwickelt, ein System, mit dem Sicherheitsforscher die Wirksamkeit unserer Elastic Security-Lösung automatisiert messen.
Auspacken von ICEDID
ICEDID verpackt seine Nutzlast in benutzerdefinierten Dateiformaten und mit einem eigenen Verschlüsselungsschema. Wir veröffentlichen eine Reihe von Tools, die den Entpackungsprozess automatisieren und Analysten und der Community helfen, auf ICEDID zu reagieren.