Tópico
Pesquisa sobre segurança
13 Março 2025
Abuso do AWS SNS: Exfiltração de dados e phishing
During a recent internal collaboration, we dug into publicly known SNS abuse attempts and our knowledge of the data source to develop detection capabilities.
Detectando keyloggers baseados em teclas de atalho usando uma estrutura de dados não documentada do kernel
Neste artigo, exploramos o que são keyloggers baseados em teclas de atalho e como detectá-los. Especificamente, explicamos como esses keyloggers interceptam as teclas digitadas e, em seguida, apresentamos uma técnica de detecção que utiliza uma tabela de teclas de atalho não documentada no espaço do kernel.
Engenharia de Detecção do Linux - O Grande Final da Persistência do Linux
Ao final desta série, você terá um conhecimento robusto das técnicas de persistência comuns e raras do Linux e entenderá como criar detecções eficazes para capacidades comuns e avançadas de adversários.
Emulando o AWS S3 SSE-C Ransom para detecção de ameaças
Neste artigo, vamos explorar como os agentes de ameaças aproveitam a criptografia do lado do servidor do Amazon S3 com chaves fornecidas pelo cliente (SSE-C) para operações de resgate/extorsão.
Engenharia de Detecção no Linux - Chegando ao topo nos mecanismos de persistência
Building on foundational concepts and techniques explored in the previous publications, this post discusses some creative and/or complex persistence mechanisms.
未公開のカーネルデータ構造を使ったホットキー型キーロガーの検知
本記事では、ホットキー型キーロガーとは何かについてと、その検知方法について紹介します。具体的には、ホットキー型キーロガーがどのようにしてキー入力を盗み取るのかを解説した後、カーネルレベルに存在する未公開(Undocumented)のホットキーテーブルを活用した検知手法について説明します。
Anunciando o Programa Elastic Bounty para Proteções de Regras de Comportamento
A Elastic está lançando uma expansão do programa de recompensas de segurança, convidando pesquisadores a testar suas regras de SIEM e EDR para técnicas de evasão e bypass, começando pelos endpoints do Windows. Essa iniciativa fortalece a colaboração com a comunidade de segurança, assegurando que as defesas da Elastic permaneçam robustas contra ameaças em evolução.
Detonating Beacons to Illuminate Detection Gaps
Learn how Elastic Security leveraged open-source BOFs to achieve detection engineering goals during our most recent ON week.
Exploring AWS STS AssumeRoot
Explore o AWS STS AssumeRoot, seus riscos, estratégias de detecção e cenários práticos para se proteger contra a elevação de privilégios e o comprometimento de contas usando os dados de SIEM e CloudTrail da Elastic.
Streamlining Security: Integrating Amazon Bedrock with Elastic
This article will guide you through the process of setting up the Amazon Bedrock integration and enabling Elastic's prebuilt detection rules to streamline your security operations.
Cups Overflow: quando sua impressora derrama mais do que tinta
O Elastic Security Labs discute estratégias de detecção e mitigação de vulnerabilidades no sistema de impressão CUPS, que permitem que invasores não autenticados explorem o sistema via IPP e mDNS, resultando em execução remota de código (RCE) em sistemas baseados em UNIX, como Linux, macOS, BSDs, ChromeOS e Solaris.
Tempestade no Horizonte: Por dentro do ecossistema IoT da AJCloud
As câmeras wi-fi são populares devido à sua acessibilidade e conveniência, mas geralmente apresentam vulnerabilidades de segurança que podem ser exploradas.
Código de conduta: intrusões da RPDC alimentadas por Python em redes seguras
Investigando o uso estratégico do Python e da engenharia social cuidadosamente elaborada pela RPDC, esta publicação esclarece como eles violam redes altamente seguras com ataques cibernéticos eficazes e em evolução.
Desmantelamento do Smart App Control
Este artigo explorará o Windows Smart App Control e o SmartScreen como um estudo de caso para pesquisar desvios para sistemas baseados em reputação e, em seguida, demonstrará detecções para cobrir essas fraquezas.
Apresentando uma nova classe de vulnerabilidade: False File Immutability
Este artigo apresenta uma classe de vulnerabilidade do Windows ainda sem nome que demonstra os perigos da suposição e descreve algumas consequências de segurança não intencionais.
情報窃取から端末を守る
本記事ではElastic Securityにおいて、エンドポイント保護を担っているElastic Defendに今年(バージョン8.12より)新たに追加された、キーロガーおよびキーロギング検出機能について紹介します。
Protegendo seus dispositivos contra roubo de informações
Neste artigo, apresentaremos os recursos de keylogger e detecção de keylogging adicionados este ano ao Elastic Defend (a partir da versão 8.12), responsável pela proteção de endpoints no Elastic Security.
500ms to midnight: XZ A.K.A. liblzma backdoor
O Elastic Security Labs está lançando uma análise inicial do backdoor do XZ Utility, incluindo regras YARA, osquery e pesquisas KQL para identificar possíveis comprometimentos.
Revelando tendências de comportamento de malware
Uma análise de um conjunto de dados diversificado de malware do Windows extraído de mais de 100.000 amostras, revelando insights sobre as táticas, técnicas e procedimentos mais prevalentes.
Monitoramento de ameaças Okta com Elastic Security
Este artigo orienta os leitores sobre como estabelecer um laboratório de detecção de ameaças Okta, enfatizando a importância de proteger plataformas SaaS como a Okta. Ele detalha a criação de um ambiente de laboratório com o Elastic Stack, integrando soluções SIEM e Okta.
Ransomware no honeypot: como capturamos chaves com arquivos canary sticky
Este artigo descreve o processo de captura de chaves de criptografia de ransomware usando a proteção contra ransomware do Elastic Defend.
Guia inicial para entender o Okta
Este artigo se aprofunda na arquitetura e nos serviços da Okta, estabelecendo uma base sólida para pesquisa de ameaças e engenharia de detecção. Leitura essencial para aqueles que desejam dominar a caça e detecção de ameaças em ambientes Okta.
Dobrando a aposta: Detectando ameaças na memória com pilhas de chamadas ETW do kernel
Com o Elastic Security 8.11, adicionamos mais detecções baseadas em pilha de chamadas de telemetria do kernel para aumentar a eficácia contra ameaças na memória.
Google Cloud para análise de dados cibernéticos
Este artigo explica como conduzimos análises abrangentes de dados de ameaças cibernéticas usando o Google Cloud, desde a extração e pré-processamento de dados até a análise e apresentação de tendências. Ele enfatiza o valor do BigQuery, Python e Planilhas Google, mostrando como refinar e visualizar dados para uma análise criteriosa de segurança cibernética.
Sinalização interna: como o eBPF interage com os sinais
Este artigo explora algumas das semânticas dos sinais UNIX quando gerados a partir de um programa eBPF.
Simplificando a consulta ES|QL e a validação de regras: Integração com o GitHub CI
ES|QL é a nova linguagem de consulta canalizada da Elastic. Aproveitando ao máximo esse novo recurso, o Elastic Security Labs explica como executar a validação de regras ES|QL para o Detection Engine.
Revelando o backdoor do BLOODALCHEMY
BLOODALCHEMY é um novo backdoor desenvolvido ativamente que utiliza um binário benigno como um veículo de injeção e faz parte do conjunto de intrusão REF5961.
Apresentando o conjunto de intrusão REF5961
O conjunto de intrusão REF5961 revela três novas famílias de malware que têm como alvo os membros da ASEAN. O agente de ameaças que utiliza esse conjunto de intrusão continua a desenvolver e amadurecer suas capacidades.
Por dentro do plano da Microsoft para acabar com o PPLFault
Nesta publicação de pesquisa, aprenderemos sobre as próximas melhorias no subsistema de integridade de código do Windows que tornarão mais difícil para malware adulterar processos antimalware e outros recursos de segurança importantes.
Desvendando a cortina com pilhas de chamadas
Neste artigo, mostraremos como contextualizamos regras e eventos e como você pode aproveitar pilhas de chamadas para entender melhor quaisquer alertas encontrados em seu ambiente.
Into The Weeds: Como corremos Detonate
Explore a implementação técnica do sistema Detonate, incluindo a criação de sandbox, a tecnologia de suporte, a coleta de telemetria e como explodir coisas.
Aumentando a aposta: Detectando ameaças na memória com pilhas de chamadas do kernel
Nosso objetivo é inovar mais do que os adversários e manter proteções contra as últimas tendências dos invasores. Com o Elastic Security 8.8, adicionamos novas detecções baseadas em pilha de chamadas do kernel, o que nos proporciona maior eficácia contra ameaças na memória.
Clique, clique… Boom! Automatizando testes de proteção com Detonate
Para automatizar esse processo e testar nossas proteções em grande escala, criamos o Detonate, um sistema usado por engenheiros de pesquisa de segurança para medir a eficácia de nossa solução Elastic Security de forma automatizada.
Exploring the Future of Security with ChatGPT (Explorando o futuro da segurança com o ChatGPT)
Recentemente, a OpenAI anunciou APIs para engenheiros integrarem modelos ChatGPT e Whisper em seus aplicativos e produtos. Por algum tempo, os engenheiros podiam usar as chamadas da API REST para modelos mais antigos e, de outra forma, usar a interface ChatGPT por meio de seu site.
Visão geral da série de várias partes do Elastic Global Threat Report
A cada mês, a equipe do Elastic Security Labs analisa uma tendência ou correlação diferente do Elastic Global Threat Report. Esta postagem fornece uma visão geral dessas publicações individuais.
Parentalidade eficaz - detecção de falsificação de PID parental baseada em LRPC
Usando a criação de processos como estudo de caso, esta pesquisa delineará a corrida armamentista de detecção de evasão até o momento, descreverá as fraquezas em algumas abordagens de detecção atuais e, então, seguirá a busca por uma abordagem genérica para evasão baseada em LRPC.
Caça a bibliotecas suspeitas do Windows para execução e evasão de defesa
Saiba mais sobre como descobrir ameaças pesquisando eventos de carregamento de DLL, uma maneira de revelar a presença de malware conhecido e desconhecido em dados de eventos de processos ruidosos.
Sandboxing de produtos antimalware para diversão e lucro
Este artigo demonstra uma falha que permite que invasores ignorem um mecanismo de segurança do Windows que protege produtos antimalware de várias formas de ataque.
Extração de configuração dinâmica NETWIRE
O Elastic Security Labs discute o trojan NETWIRE e está lançando uma ferramenta para extrair dinamicamente arquivos de configuração.
Encontrando a verdade nas sombras
Vamos discutir três benefícios que as proteções de pilha de hardware trazem além da capacidade pretendida de mitigação de explorações e explicar algumas limitações.
Resumo da vulnerabilidade: Follina, CVE-2022-30190
A Elastic está implantando uma nova assinatura de malware para identificar o uso da vulnerabilidade Follina. Saiba mais neste post.
Get-InjectedThreadEx – Detectando trampolins de criação de threads
Neste blog, demonstraremos como detectar cada uma das quatro classes de trampolim de processo e liberar um script de detecção do PowerShell atualizado – Get-InjectedThreadEx
Extração de configuração dinâmica EMOTET
O Elastic Security Labs discute o trojan EMOTET e está lançando uma ferramenta para extrair dinamicamente arquivos de configuração usando emuladores de código.
Análise da vulnerabilidade Log4Shell e CVE-2021-45046
Nesta postagem, abordamos as próximas etapas que a equipe do Elastic Security está tomando para que os usuários continuem se protegendo contra CVE-2021-44228 ou Log4Shell.
Mergulho profundo no ecossistema TTD
Este é o primeiro de uma série focada na tecnologia de Depuração de Viagem no Tempo (TTD) desenvolvida pela Microsoft e que foi explorada em detalhes durante um recente período de pesquisa independente.
Resumo da avaliação KNOTWEED
O KNOTWEED distribui o spyware Subzero por meio do uso de exploits de dia 0 para o Adobe Reader e o sistema operacional Windows. Depois que o acesso inicial é obtido, ele usa diferentes seções do Subzero para manter a persistência e executar ações no host.
Detectando Exploração de CVE-2021-44228 (Log4j2) com Elastic Security
Esta postagem do blog fornece um resumo do CVE-2021-44228 e fornece aos usuários do Elastic Security detecções para encontrar exploração ativa da vulnerabilidade em seu ambiente. Mais atualizações serão fornecidas a esta postagem à medida que aprendermos mais.
Regras de detecção para vulnerabilidade SIGRed
A vulnerabilidade SIGRed afeta todos os sistemas que utilizam o serviço de servidor DNS do Windows (Windows 2003+). Para defender seu ambiente, recomendamos implementar a lógica de detecção incluída nesta postagem do blog usando tecnologia como o Elastic Security.
Resposta da Elastic à vulnerabilidade Spring4Shell (CVE-2022-22965)
Forneça detalhes de nível executivo sobre CVE-2022-22965, uma vulnerabilidade de execução remota de código (RCE) recentemente divulgada, também conhecida como “Spring4Shell”.
Detectando e respondendo a Dirty Pipe com Elastic
A Elastic Security está lançando lógica de detecção para o exploit Dirty Pipe.
Aproveitando ao máximo os transformadores em Elastic
Neste blog, falaremos brevemente sobre como ajustamos um modelo de transformador destinado a uma tarefa de modelagem de linguagem mascarada (MLM), para torná-lo adequado para uma tarefa de classificação.
Caçando ataques .NET na memória
Como continuação da minha apresentação na DerbyCon, esta postagem investigará uma tendência emergente de adversários usando técnicas de memória baseadas em .NET para evitar a detecção
Caçando na Memória
Os caçadores de ameaças são encarregados da difícil tarefa de vasculhar vastas fontes de dados diversos para identificar atividades adversárias em qualquer estágio do ataque.
Coletando e operacionalizando dados de ameaças da botnet Mozi
O botnet Mozi é uma campanha de malware em andamento que tem como alvo dispositivos de rede vulneráveis e desprotegidos. Esta postagem mostrará a jornada do analista na coleta, análise e operacionalização de dados de ameaças da botnet Mozi.
Detecção e resposta para vulnerabilidades ProxyShell exploradas ativamente
Na semana passada, a Elastic Security observou a exploração de vulnerabilidades do Microsoft Exchange associadas ao ProxyShell. Revise a postagem para encontrar detalhes recém-divulgados sobre esta atividade.
Nimbuspwn: Aproveitando vulnerabilidades para explorar Linux via Privilege Escalation
A equipe do Microsoft 365 Defender divulgou uma postagem detalhando diversas vulnerabilidades identificadas. Essas vulnerabilidades permitem que grupos adversários aumentem privilégios em sistemas Linux, permitindo a implantação de payloads, ransomware ou outros ataques.
Como testar a visibilidade detecção do Okta com a Dorothy e o Elastic Security
Dorothy é uma ferramenta para equipes de segurança testarem os recursos de visibilidade e detecção para o ambiente Okta. As soluções IAM costumam ser alvo de invasores, mas pouco monitoradas. Saiba como começar a usar a Dorothy.
Adotando ferramentas ofensivas: Construindo detecções contra Koadic usando EQL
Encontre novas maneiras de criar detecções comportamentais em estruturas de pós-exploração, como o Koadic, usando a Linguagem de Consulta de Eventos (EQL).
Engenharia de segurança prática: detecção de estado
Ao formalizar a detecção com estado em suas regras, bem como em seu processo de engenharia, você aumenta sua cobertura de detecção em correspondências futuras e passadas. Nesta postagem do blog, saiba por que a detecção com estado é um conceito importante a ser implementado.