Pesquisa primária sobre ameaças do Elastic Security Labs
1º de outubro de 2024
Elastic publica Relatório Global de Ameaças 2024
O Elastic Security Labs lançou o Elastic Global Threat Report 2024 , apresentando as ameaças, tendências e recomendações mais urgentes para ajudar a manter as organizações seguras no próximo ano.
Em destaque
Pesquisa sobre segurança
Ver tudo
Abuso do AWS SNS: exfiltração de dados e phishing
Durante uma recente colaboração interna, investigamos as tentativas de abuso do SNS conhecidas publicamente e nosso conhecimento da fonte de dados para desenvolver recursos de detecção.
Detectando keyloggers baseados em teclas de atalho usando uma estrutura de dados não documentada do kernel
Neste artigo, exploramos o que são keyloggers baseados em teclas de atalho e como detectá-los. Especificamente, explicamos como esses keyloggers interceptam as teclas digitadas e, em seguida, apresentamos uma técnica de detecção que utiliza uma tabela de teclas de atalho não documentada no espaço do kernel.
Engenharia de detecção do Linux - A grande final sobre persistência do Linux
Ao final desta série, você terá um conhecimento sólido das técnicas comuns e raras de persistência do Linux e entenderá como projetar detecções de forma eficaz para recursos comuns e avançados de adversários.
Emulando o AWS S3 SSE-C Ransom para detecção de ameaças
Neste artigo, exploraremos como os agentes de ameaças utilizam a criptografia do lado do servidor com chaves fornecidas pelo cliente (SSE-C) do Amazon S3 para operações de resgate/extorsão.
Análise de malware
Ver tudo
Malware ilegal para Linux: persistente, pouco sofisticado e surpreendentemente eficaz
Outlaw é um malware Linux persistente que utiliza táticas simples de força bruta e mineração para manter uma botnet duradoura.
A estratégia Shelby
Uma análise do abuso do GitHub para C2 pelo REF8685 para escapar das defesas.
Iluminando o motorista do ABYSSWORKER
O Elastic Security Labs descreve o ABYSSWORKER, um driver malicioso usado com a cadeia de ataque do ransomware MEDUSA para desabilitar ferramentas antimalware.
Você tem malware: FINALDRAFT se esconde em seus rascunhos
Durante uma investigação recente (REF7707), o Elastic Security Labs descobriu um novo malware direcionado a um ministério das Relações Exteriores. O malware inclui um carregador personalizado e um backdoor com muitos recursos, incluindo o uso da API Graph da Microsoft para comunicações C2.
Campanhas
Ver tudo
Da América do Sul ao Sudeste Asiático: A frágil teia do REF7707
O REF7707 teve como alvo um Ministério das Relações Exteriores da América do Sul usando novas famílias de malware. Táticas de evasão inconsistentes e erros de segurança operacional expuseram infraestrutura adicional de propriedade do adversário.
PIKABOT, eu escolho você!
O Elastic Security Labs observou novas campanhas do PIKABOT, incluindo uma versão atualizada. O PIKABOT é um carregador amplamente implantado que os agentes mal-intencionados utilizam para distribuir cargas úteis adicionais.
Pesquisa inicial expondo JOKERSPY
Explore o JOKERSPY, uma campanha recentemente descoberta que visa instituições financeiras com backdoors em Python. Este artigo aborda reconhecimento, padrões de ataque e métodos de identificação do JOKERSPY em sua rede.
Elastic encanta o SPECTRALVIPER
O Elastic Security Labs descobriu as famílias de malware P8LOADER, POWERSEAL e SPECTRALVIPER que visam o agronegócio nacional vietnamita. REF2754 compartilha malware e elementos motivacionais dos grupos de atividades REF4322 e APT32.
Grupos e táticas
Ver tudo
Apostando em bots: investigando malwares, mineração de criptomoedas e abuso de APIs de jogos de azar para Linux
A campanha REF6138 envolveu criptomineração, ataques de DDoS e possível lavagem de dinheiro por meio de APIs de jogos de azar, destacando o uso de malware em evolução e canais de comunicação furtivos pelos atacantes.
Código de conduta: intrusões da RPDC alimentadas por Python em redes seguras
Investigando o uso estratégico do Python e da engenharia social cuidadosamente elaborada pela RPDC, esta publicação esclarece como eles violam redes altamente seguras com ataques cibernéticos eficazes e em evolução.
GrimResource - Console de gerenciamento da Microsoft para acesso inicial e evasão
Pesquisadores da Elastic descobriram uma nova técnica, a GrimResource, que permite a execução completa do código por meio de arquivos MSC especialmente criados. Isso ressalta uma tendência de atacantes com bons recursos que favorecem métodos inovadores de acesso inicial para burlar as defesas.
Mineradores invisíveis: revelando as operações de mineração de criptomoedas da GHOSTENGINE
O Elastic Security Labs identificou o REF4578, um conjunto de intrusões que incorpora vários módulos maliciosos e utiliza drivers vulneráveis para desativar soluções de segurança conhecidas (EDRs) para mineração de criptomoedas.
Perspectivas
WinVisor - Um emulador baseado em hipervisor para executáveis em modo de usuário do Windows x64
O WinVisor é um emulador baseado em hipervisor para executáveis em modo de usuário do Windows x64 que usa a API da Plataforma de Hipervisor do Windows para oferecer um ambiente virtualizado que registra chamadas de sistema e permite a introspecção de memória.
Tempestade no Horizonte: Por dentro do ecossistema IoT da AJCloud
As câmeras wi-fi são populares devido à sua acessibilidade e conveniência, mas geralmente apresentam vulnerabilidades de segurança que podem ser exploradas.
Kernel ETW é o melhor ETW
Esta pesquisa se concentra na importância dos logs de auditoria nativos em software seguro por design, enfatizando a necessidade de log ETW no nível do kernel em ganchos de modo de usuário para aprimorar as proteções antiviolação.
Esqueça os drivers vulneráveis - Admin é tudo o que você precisa
Bring Your Own Vulnerable Driver (BYOVD) é uma técnica de invasão cada vez mais popular, em que um agente de ameaça traz um driver assinado conhecido e vulnerável junto com seu malware, carrega-o no kernel e o explora para executar alguma ação dentro do kernel que, de outra forma, não seria capaz de fazer. Empregado por agentes de ameaças avançadas há mais de uma década, o BYOVD está se tornando cada vez mais comum em ransomware e malware de commodities.
IA generativa
Ver tudo
A Elastic aprimora a segurança do LLM com campos e integrações padronizados
Descubra os últimos avanços da Elastic em segurança LLM, com foco em integrações de campo padronizadas e recursos aprimorados de detecção. Saiba como a adoção desses padrões pode proteger seus sistemas.
Incorporação de segurança em fluxos de trabalho LLM: Abordagem proativa da Elastic
Mergulhe na exploração da segurança incorporada pela Elastic diretamente em modelos de linguagem grande (LLMs). Descubra nossas estratégias para detectar e mitigar várias das principais vulnerabilidades do OWASP em aplicativos LLM, garantindo aplicativos orientados por IA mais seguros e protegidos.
Acelerando o comércio de detecção elástica com LLMs
Saiba mais sobre como o Elastic Security Labs tem se concentrado em acelerar nossos fluxos de trabalho de engenharia de detecção, explorando recursos de IA mais generativos.
Usando LLMs e ESRE para encontrar sessões de usuários semelhantes
Em nosso artigo anterior, exploramos o uso do GPT-4 Large Language Model (LLM) para condensar as sessões de usuários do Linux. No contexto do mesmo experimento, dedicamos algum tempo para examinar sessões que compartilhavam semelhanças. Posteriormente, essas sessões semelhantes podem ajudar os analistas a identificar atividades suspeitas relacionadas.
Ferramentas
Ver tudo
Situações STIXy: ECSaping seus dados de ameaças
Os dados estruturados de ameaças geralmente são formatados usando STIX. Para ajudar a colocar esses dados no Elasticsearch, estamos lançando um script Python que converte o STIX em um formato ECS para ser ingerido na sua pilha.
Into The Weeds: Como corremos Detonate
Explore a implementação técnica do sistema Detonate, incluindo a criação de sandbox, a tecnologia de suporte, a coleta de telemetria e como explodir coisas.
Clique, clique… Boom! Automatizando testes de proteção com Detonate
Para automatizar esse processo e testar nossas proteções em grande escala, criamos o Detonate, um sistema usado por engenheiros de pesquisa de segurança para medir a eficácia de nossa solução Elastic Security de forma automatizada.
Desempacotando o ICEDID
O ICEDID é conhecido por compactar suas cargas úteis usando formatos de arquivos e um esquema de criptografia customizados. Estamos lançando um conjunto de ferramentas para automatizar o processo de descompactação e ajudar os analistas e a comunidade a responder à ICEDID.