类别
安全研究
2024 年 9 月 28 日
杯子溢出:当您的打印机溢出的不仅仅是墨水
Elastic Security Labs 讨论了 CUPS 打印系统漏洞的检测和缓解策略,这些漏洞允许未经认证的攻击者通过 IPP 和 mDNS 利用系统,从而在基于 UNIX 的系统(如 Linux、macOS、BSD、ChromeOS 和 Solaris)上远程执行代码 (RCE)。
即将来临的风暴:深入探讨 AJCloud 物联网生态系统
Wi-Fi 摄像头因其经济实惠和方便快捷而广受欢迎,但往往存在可被利用的安全漏洞。
行为规范:朝鲜利用 Python 入侵安全网络
本出版物调查了朝鲜对 Python 和精心设计的社交工程的战略性使用,揭示了他们如何通过不断发展和有效的网络攻击攻破高度安全的网络。
拆除智能应用控制
本文将以 Windows 智能应用控制和 SmartScreen 为案例,研究如何绕过基于信誉的系统,然后演示如何检测这些弱点。
引入新的漏洞类别:虚假文件不变性
本文介绍了一种以前未命名的 Windows 漏洞类别,证明了假设的危险性并描述了一些意想不到的安全后果。
情報窃取から端末を守る
本記事ではElastic Securityにおいて、エンドポイント保護を担っているElastic Defendに今年(バージョン8.12より)新たに追加された、キーロガーおよびキーロギング検出機能について紹介します。
保护你的设备免遭信息盗窃
在本文中,我们将介绍今年在 Elastic Defend(从 8.12 版本开始)中添加的键盘记录器和键盘记录检测功能,它负责 Elastic Security 中的端点保护。
500ms 至午夜:XZ/liblzma 后门
Elastic Security Labs 正在发布对 XZ Utility 后门的初步分析,包括 YARA 规则、osquery 和 KQL 搜索,以识别潜在的危害。
揭示恶意软件行为趋势
对从超过 100,000 个样本中提取的多样化 Windows 恶意软件数据集进行分析,揭示最流行的策略、技术和程序。
使用 Elastic Security 监控 Okta 威胁
本文指导读者建立 Okta 威胁检测实验室,强调保护 Okta 等 SaaS 平台的重要性。 它详细介绍了如何使用 Elastic Stack 创建实验室环境、集成 SIEM 解决方案和 Okta。
蜜罐中的勒索软件:如何使用粘性金丝雀文件捕获密钥
本文介绍了使用 Elastic Defend 勒索软件防护从勒索软件中捕获加密密钥的过程。
了解 Okta 的入门指南
本文深入探讨了 Okta 的架构和服务,为威胁研究和检测工程奠定了坚实的基础。 对于那些想要掌握 Okta 环境中的威胁搜寻和检测的人来说,这是必读内容。
加倍努力:使用内核 ETW 调用堆栈检测内存威胁
在 Elastic Security 8.11 中,我们添加了进一步的基于内核遥测调用堆栈的检测,以提高抵御内存威胁的有效性。
Google Cloud 用于网络数据分析
本文介绍如何使用 Google Cloud 进行全面的网络威胁数据分析,从数据提取和预处理到趋势分析和呈现。 它强调了 BigQuery、Python 和 Google Sheets 的价值——展示了如何提炼和可视化数据以进行有洞察力的网络安全分析。
内部信号:eBPF 如何与信号交互
本文探讨了由 eBPF 程序生成的 UNIX 信号的一些语义。
简化 ES|QL 查询和规则验证:与 GitHub CI 集成
ES|QL 是 Elastic 的新管道查询语言。 充分利用这一新功能,Elastic Security Labs 演示了如何为检测引擎运行 ES|QL 规则的验证。
揭露 BLOODALCHEMY 后门
BLOODALCHEMY 是一种新型、积极开发的后门,它利用良性二进制文件作为注入载体,是 REF5961 入侵集的一部分。
REF5961 入侵套件简介
REF5961入侵事件揭露了三个针对东盟成员的新恶意软件家族。 利用这套入侵手段的威胁行为者不断发展和完善其能力。
微软消灭 PPLFault 的计划
在本次研究出版物中,我们将了解 Windows 代码完整性子系统即将进行的改进,这将使恶意软件更难篡改反恶意软件进程和其他重要的安全功能。
揭开调用堆栈的面纱
在本文中,我们将向您展示如何将规则和事件情境化,以及如何利用调用堆栈来更好地理解您在环境中遇到的任何警报。
深入细节:我们如何运行 Detonate
探索 Detonate 系统的技术实现,包括沙箱创建、支持技术、遥测收集以及如何引爆物品。
加大赌注:使用内核调用堆栈检测内存威胁
我们的目标是在创新上超越对手,并保持对攻击者尖端技术的防御。 在 Elastic Security 8.8 中,我们添加了新的基于内核调用堆栈的检测,这为我们提供了更高的针对内存威胁的有效性。
咔嚓,咔嚓...砰!使用 Detonate 自动化保护测试
为了使这一过程自动化并大规模测试我们的保护措施,我们建立了 Detonate 系统,该系统供安全研究工程师使用,以自动化方式衡量我们的 Elastic 安全解决方案的功效。
利用 ChatGPT 探索安全性的未来
最近,OpenAI 发布了供工程师集成 ChatGPT 和 Whisper 模型到他们的应用程序和产品中的 API。 一段时间以来,工程师可以使用 REST API 调用旧模型,或者通过他们的网站使用 ChatGPT 界面。
Elastic 全球威胁报告多部分系列概述
每个月,Elastic 安全实验室团队都会从 Elastic 全球威胁报告中分析不同的趋势或相关性。 这篇文章概述了这些单独的出版物。
有效父子关系 - 检测基于 LRPC 的父 PID 欺骗
本研究以流程创建为例,概述迄今为止的逃避检测军备竞赛,描述一些当前检测方法的弱点,然后寻求基于 LRPC 的逃避的通用方法。
寻找可疑的 Windows 库以执行和逃避防御
了解更多有关通过搜索 DLL 加载事件来发现威胁的信息,这是一种在嘈杂的进程事件数据中揭示已知和未知恶意软件的存在的一种方法。
沙盒化反恶意软件产品,乐趣与收益
本文展示了一个漏洞,该漏洞可使攻击者绕过保护反恶意软件产品免受各种形式攻击的 Windows 安全机制。
NETWIRE 动态配置提取
Elastic Security Labs 讨论了 NETWIRE 木马,并发布了一个动态提取配置文件的工具。
在阴影中寻找真相
让我们讨论一下硬件堆栈保护除了预期的漏洞缓解能力之外还带来的三个好处,并解释一些局限性。
漏洞摘要:Follina,CVE-2022-30190
Elastic 正在部署新的恶意软件签名来识别 Follina 漏洞的使用。 在本文中了解更多信息。
Get-InjectedThreadEx – 检测线程创建跳床
在本博客中,我们将演示如何检测四类进程 trampolining,并发布更新的 PowerShell 检测脚本 – Get-InjectedThreadEx
EMOTET 动态配置提取
Elastic Security Labs 讨论了 EMOTET 木马,并发布了一个使用代码模拟器动态提取配置文件的工具。
Log4Shell 漏洞及 CVE-2021-45046 分析
在这篇文章中,我们介绍了 Elastic Security 团队为用户继续保护自己免受 CVE-2021-44228 或 Log4Shell 的攻击而采取的后续措施。
深入了解 TTD 生态系统
这是重点介绍微软开发的时间旅行调试 (TTD) 技术的系列文章中的第一篇,该技术在最近的独立研究期间进行了详细探讨。
虎杖评估摘要
KNOTWEED 通过使用 Adobe Reader 和 Windows 操作系统的 0 日漏洞来部署 Subzero 间谍软件。 一旦获得初始访问权限,它就会使用 Subzero 的不同部分来维持持久性并在主机上执行操作。
使用 Elastic 安全检测对 CVE-2021-44228 (log4j2) 的利用
本博文对 CVE-2021-44228 进行了简要介绍,并为 Elastic 安全用户提供了检测方法,以发现他们环境中对该漏洞的主动利用。 在我们了解到更多信息后,我们会在本博文中提供进一步的更新。
SIGRed 漏洞检测规则
SIGRed 漏洞影响所有利用 Windows DNS 服务器服务(Windows 2003+)的系统。 为了保护您的环境,我们建议使用 Elastic Security 等技术实现本博文中包含的检测逻辑。
Elastic 对 Spring4Shell 漏洞 (CVE-2022-22965) 的响应
提供有关 CVE-2022-22965 的高管级详细信息,CVE-2022-22965 是最近披露的远程代码执行 (RCE) 漏洞,也称为“Spring4Shell”。
使用 Elastic 检测并应对脏管道
Elastic Security 正在发布针对 Dirty Pipe 漏洞的检测逻辑。
充分利用 Elastic 中的 Transformers
在这篇博客中,我们将简要讨论如何微调用于掩蔽语言建模 (MLM) 任务的转换器模型,以使其适合分类任务。
寻找内存中的 .NET 攻击
作为我在 DerbyCon 演讲的后续,这篇文章将探讨一种新兴趋势,即攻击者使用基于 .NET 的内存技术来逃避检测
记忆狩猎
威胁猎人肩负着一项艰巨的任务,即筛选大量不同的数据源,以查明攻击过程中任何阶段的敌对活动。
收集并实施来自 Mozi 僵尸网络的威胁数据
Mozi 僵尸网络是一场正在进行的恶意软件活动,其目标是不安全和易受攻击的网络设备。 这篇文章将展示分析师收集、分析和操作来自 Mozi 僵尸网络的威胁数据的过程。
ProxyShell 漏洞主动利用检测及响应
上周,Elastic Security 观察到与 ProxyShell 相关的 Microsoft Exchange 漏洞被利用。 查看该帖子来查找有关此活动的最新发布的详细信息。
Nimbuspwn:利用漏洞通过权限提升攻击 Linux
Microsoft 365 Defender 团队发布了一篇文章,详细介绍了几个已发现的漏洞。 这些漏洞允许敌对团体提升 Linux 系统上的权限,从而部署有效载荷、勒索软件或其他攻击。
使用 Dorothy 和 Elastic 安全测试您的 Okta 可见性和检测能力
Dorothy 是一款工具,安全团队可用它来测试他们在 Okta 环境中的可见性和检测能力。 IAM 解决方案经常成为敌手的攻击目标,尽管如此,它们在监测方面却十分欠缺。 请阅读本博文,了解如何开始使用 Dorothy。
拥抱攻击工具:使用 EQL 构建针对 Koadic 的检测
找到使用事件查询语言 (EQL) 针对 Koadic 等后利用框架构建行为检测的新方法。
实用安全工程:状态检测
通过在规则和工程流程中形式化状态检测,您可以增加对未来和过去匹配的检测覆盖率。 在这篇博文中,了解为什么状态检测是一个重要的概念。