来自 Elastic Security Labs 的主要威胁研究
2024 年 10 月 1 日
Elastic 发布 2024 年全球威胁报告
Elastic Security Labs 发布了《 2024 年 Elastic 全球威胁报告》,揭示了最紧迫的威胁、趋势和建议,旨在帮助确保组织在未来一年的安全。
精选
安全性研究
查看全部杯子溢出:当您的打印机溢出的不仅仅是墨水
Elastic Security Labs 讨论了 CUPS 打印系统漏洞的检测和缓解策略,这些漏洞允许未经认证的攻击者通过 IPP 和 mDNS 利用系统,从而在基于 UNIX 的系统(如 Linux、macOS、BSD、ChromeOS 和 Solaris)上远程执行代码 (RCE)。
即将来临的风暴:深入探讨 AJCloud 物联网生态系统
Wi-Fi 摄像头因其经济实惠和方便快捷而广受欢迎,但往往存在可被利用的安全漏洞。
行为规范:朝鲜利用 Python 入侵安全网络
本出版物调查了朝鲜对 Python 和精心设计的社交工程的战略性使用,揭示了他们如何通过不断发展和有效的网络攻击攻破高度安全的网络。
拆除智能应用控制
本文将以 Windows 智能应用控制和 SmartScreen 为案例,研究如何绕过基于信誉的系统,然后演示如何检测这些弱点。
恶意软件分析
查看全部Katz and Mouse Game: MaaS Infostealers Adapt to Patched Chrome Defenses
Elastic Security Labs breaks down bypass implementations from the infostealer ecosystem’s reaction to Chrome 127's Application-Bound Encryption scheme.
Tricks and Treats: GHOSTPULSE’s new pixel-level deception
The updated GHOSTPULSE malware has evolved to embed malicious data directly within pixel structures, making it harder to detect and requiring new analysis and detection techniques.
押注机器人:调查 Linux 恶意软件、加密货币挖矿和博彩 API 滥用
REF6138 活动涉及加密货币挖矿、DDoS 攻击和通过博彩 API 进行的潜在洗钱,凸显了攻击者使用不断发展的恶意软件和隐蔽的通信渠道。
行为规范:朝鲜利用 Python 入侵安全网络
本出版物调查了朝鲜对 Python 和精心设计的社交工程的战略性使用,揭示了他们如何通过不断发展和有效的网络攻击攻破高度安全的网络。
营销活动
查看全部PIKABOT,我选择你!
Elastic Security Labs 观察到新的 PIKABOT 活动,包括一个更新版本。PIKABOT 是一种广泛部署的加载程序,恶意行为者利用它来分发额外的有效负载。
揭露 JOKERSPY 的初步研究
探索 JOKERSPY,这是一项最近发现的针对使用 Python 后门的金融机构的活动。本文介绍了侦察、攻击模式以及识别网络中 JOKERSPY 的方法。
Elastic 对 SPECTRALVIPER 施展“魔力”
Elastic Security Labs 发现了 P8LOADER、POWERSEAL 和 SPECTRALVIPER 系列恶意软件,其目标是越南的一家国家农业企业。REF2754 与 REF4322 和 APT32 活动组共享恶意软件和动机元素。
PHOREAL 恶意软件专门攻击东南亚金融部门
Elastic Security 发现了 PHOREAL 恶意软件,该恶意软件的目标是东南亚金融组织,特别是越南金融部门。
群组与策略
查看全部押注机器人:调查 Linux 恶意软件、加密货币挖矿和博彩 API 滥用
REF6138 活动涉及加密货币挖矿、DDoS 攻击和通过博彩 API 进行的潜在洗钱,凸显了攻击者使用不断发展的恶意软件和隐蔽的通信渠道。
行为规范:朝鲜利用 Python 入侵安全网络
本出版物调查了朝鲜对 Python 和精心设计的社交工程的战略性使用,揭示了他们如何通过不断发展和有效的网络攻击攻破高度安全的网络。
GrimResource - 用于初始访问和规避的 Microsoft 管理控制台
Elastic 研究人员发现了一种名为 GrimResource 的新技术,它允许通过特制的 MSC 文件执行全部代码。这凸显了一种趋势,即资源充足的攻击者倾向于采用创新的初始访问方法来躲避防御系统。
隐形矿工:揭秘 GHOSTENGINE 的加密货币挖矿业务
Elastic Security Labs 发现了 REF4578,这是一个包含多个恶意模块的入侵集,利用易受攻击的驱动程序来禁用已知的安全解决方案 (EDR),以进行加密货币挖矿。
视角
即将来临的风暴:深入探讨 AJCloud 物联网生态系统
Wi-Fi 摄像头因其经济实惠和方便快捷而广受欢迎,但往往存在可被利用的安全漏洞。
内核 ETW 是最好的 ETW
这项研究重点关注本机审计日志在安全设计软件中的重要性,强调内核级 ETW 日志比用户模式钩子更有必要,以增强防篡改保护。
忘记易受攻击的驱动程序 - 您只需要管理员
自带漏洞驱动程序(BYOVD)是一种日益流行的攻击技术,威胁者将已知漏洞的签名驱动程序与恶意软件一起加载到内核中,然后利用它在内核中执行一些原本无法执行的操作。十多年来,高级威胁行为者一直在使用 BYOVD,它在勒索软件和商品恶意软件中越来越常见。
生成式 AI
查看全部Elastic 通过标准化字段和集成推进 LLM 安全性
了解 Elastic 在 LLM 安全方面的最新进展,重点关注标准化的现场集成和增强的检测功能。了解如何采用这些标准来保护您的系统。
在 LLM 工作流中嵌入安全性:Elastic 的主动方法
深入了解 Elastic 在大型语言模型 (LLM) 中直接嵌入安全性的探索。了解我们在 LLM 应用程序中检测和缓解几个顶级 OWASP 漏洞的策略,确保 AI 驱动型的应用程序更加安全可靠。
利用 LLM 加速 Elastic 检测谍报技术
详细了解 Elastic Security Labs 如何通过利用更多生成式 AI 功能来加速我们的检测工程工作流。
使用 LLM 和 ESRE 查找相似的用户会话
在上一篇文章中,我们探讨了如何使用 GPT-4 大型语言模型 (LLM) 来压缩 Linux 用户会话。在同一个实验中,我们花了一些时间来检查具有相似之处的会话。这些类似的会话随后可以帮助分析人员识别相关的可疑活动。
工具
查看全部STIXy 情况:ECSaping 您的威胁数据
结构化威胁数据通常使用 STIX 进行格式化。为了帮助将这些数据导入 Elasticsearch,我们发布了一个 Python 脚本,可将 STIX 转换为 ECS 格式,以便导入到您的堆栈中。
深入细节:我们如何运行 Detonate
探索 Detonate 系统的技术实现,包括沙箱创建、支持技术、遥测收集以及如何引爆物品。
咔嚓,咔嚓...砰!使用 Detonate 自动化保护测试
为了使这一过程自动化并大规模测试我们的保护措施,我们建立了 Detonate 系统,该系统供安全研究工程师使用,以自动化方式衡量我们的 Elastic 安全解决方案的功效。
ICEDID 简介
众所周知,ICEDID 使用自定义文件格式和自定义加密方案来打包其有效负载。我们正在发布一套工具,以实现解包过程的自动化,并帮助分析师和社区应对 ICEDID。