来自 Elastic Security Labs 的主要威胁研究
8十月2025
2025 《弹性全球威胁报告》揭示了不断变化的威胁形势
2025 《弹性全球威胁报告》从现实世界的遥测数据中提供了有关对手趋势和防御者策略的最新见解。
Detection Engineering
查看全部
调查神秘的畸形 Authenticode 签名
深入调查,追踪 Windows Authenticode 验证失败,从模糊的错误代码到未记录的内核例程。
攻克SHELLTER:一个在野外被滥用的商业规避框架
Elastic 安全实验室检测到最近出现的信息窃取者使用非法获取的商业逃避框架 SHELLTER 版本来部署后利用有效载荷。
Microsoft Entra ID OAuth 网络钓鱼和检测
本文探讨了 Microsoft Entra ID 中的 OAuth 网络钓鱼和基于令牌的滥用。通过模拟和分析登录活动期间的令牌、范围和设备行为,我们发现了高保真信号,防御者可以使用它来检测和搜寻 OAuth 滥用。
行为不当模式:检测工具,而非技术
我们探索执行模式的概念以及以模式为中心的检测如何补充以行为为中心的检测。
恶意软件分析
查看全部
RONINGLOADER: DragonBreath 通往 PPL 滥用的新道路
Elastic Security Labs 发现了 RONINGLOADER,这是一个部署 DragonBreath 更新版 gh0st RAT 变种的多级加载器。该活动利用签名驱动程序、线程池注入和 PPL 滥用来禁用 Defender 并躲避中国的 EDR 工具。
你的是什么,我的是 IIS
REF3927 滥用公开披露的 ASP.NET 机器密钥,入侵 IIS 服务器并在全球部署 TOLLBOOTH SEO 隐藏模块。
0xelm 街的 NightMARE,导游讲解
本文介绍的 nightMARE 是 Elastic Security Labs 为恶意软件研究人员开发的基于 python 的库,可帮助扩大分析范围。它介绍了我们如何使用 nightMARE 开发恶意软件配置提取器和分析情报指标。
WARMCOOKIE 一年之后:新功能和新见解
一年之后:弹性安全实验室重新审视 WARMCOOKIE 后门。
内部
查看全部
FlipSwitch:一种新颖的系统调用挂钩技术
FlipSwitch 提供了绕过 Linux 内核防御的全新视角,揭示了网络攻击者和防御者之间持续斗争中的一种新技术。
调查神秘的畸形 Authenticode 签名
深入调查,追踪 Windows Authenticode 验证失败,从模糊的错误代码到未记录的内核例程。
调用堆栈:恶意软件不再逍遥法外
我们探讨了调用堆栈为恶意软件检测带来的巨大价值,以及为什么 Elastic 尽管存在架构限制,仍将其视为重要的 Windows 端点遥测。
行为不当模式:检测工具,而非技术
我们探索执行模式的概念以及以模式为中心的检测如何补充以行为为中心的检测。
威胁情报
查看全部攻克SHELLTER:一个在野外被滥用的商业规避框架
Elastic 安全实验室检测到最近出现的信息窃取者使用非法获取的商业逃避框架 SHELLTER 版本来部署后利用有效载荷。
从南美到东南亚:REF7707 的脆弱网络
REF7707 使用新型恶意软件家族瞄准了南美外交部。不一致的逃避策略和操作安全失误暴露了更多对手拥有的基础设施。
押注机器人:调查 Linux 恶意软件、加密货币挖矿和博彩 API 滥用
REF6138 活动涉及加密货币挖矿、DDoS 攻击和通过博彩 API 进行的潜在洗钱,凸显了攻击者使用不断发展的恶意软件和隐蔽的通信渠道。
行为规范:朝鲜利用 Python 入侵安全网络
本出版物调查了朝鲜对 Python 和精心设计的社交工程的战略性使用,揭示了他们如何通过不断发展和有效的网络攻击攻破高度安全的网络。
Machine Learning
查看全部
使用新的 Kibana 集成检测域生成算法 (DGA) 活动
我们已将 DGA 检测包添加到 Kibana 中的 Integrations 应用中。 只需单击一下,您就可以安装并开始使用 DGA 模型和相关资产,包括摄取管道配置、异常检测作业和检测规则。
自动安全保护快速响应恶意软件
看看我们是如何在机器学习模型的帮助下改进流程,使我们能够根据新信息快速做出更新,并将这些保护措施传播给我们的用户。
利用新的弹性集成检测 "离地生活 "攻击
我们在 Kibana 的 "集成 "应用程序中添加了 "离地生活"(LotL)检测包。只需单击一下,您就可以安装并开始使用 ProblemChild 模型和相关资产,包括异常检测配置和检测规则。
使用 Elastic 识别信标式恶意软件
在本博客中,我们将指导用户使用我们的信标识别框架识别其环境中的信标恶意软件。
生成式 AI
查看全部
MCP 工具:自主代理的攻击向量和防御建议
本研究探讨了模型上下文协议(MCP)工具如何扩大自主代理的攻击面,详细介绍了工具中毒、协调注入和毯拉重新定义等利用载体以及实用的防御策略。
代理框架摘要
代理系统要求安全团队在自主性与一致性之间取得平衡,确保人工智能代理能够独立行动,同时保持目标一致性和可控性。
Elastic 通过标准化字段和集成推进 LLM 安全性
了解 Elastic 在 LLM 安全方面的最新进展,重点关注标准化的现场集成和增强的检测功能。了解如何采用这些标准来保护您的系统。
在 LLM 工作流中嵌入安全性:Elastic 的主动方法
深入了解 Elastic 在大型语言模型 (LLM) 中直接嵌入安全性的探索。了解我们在 LLM 应用程序中检测和缓解几个顶级 OWASP 漏洞的策略,确保 AI 驱动型的应用程序更加安全可靠。
工具
查看全部
WinVisor – 基于管理程序的模拟器,适用于 Windows x64 用户模式可执行文件
WinVisor 是一款基于管理程序的模拟器,适用于 Windows x64 用户模式可执行文件,它利用 Windows Hypervisor Platform API 提供虚拟化环境,用于记录系统调用并实现内存自省。
STIXy 情况:ECSaping 您的威胁数据
结构化威胁数据通常使用 STIX 进行格式化。为了帮助将这些数据导入 Elasticsearch,我们发布了一个 Python 脚本,可将 STIX 转换为 ECS 格式,以便导入到您的堆栈中。
使用命名管道彻夜跳舞 - PIPEDANCE 客户端发布
在本出版物中,我们将介绍该客户端应用程序的功能以及如何开始使用该工具。
咔嚓,咔嚓...砰!使用 Detonate 自动化保护测试
为了使这一过程自动化并大规模测试我们的保护措施,我们建立了 Detonate 系统,该系统供安全研究工程师使用,以自动化方式衡量我们的 Elastic 安全解决方案的功效。