Primäre Bedrohungsforschung von Elastic Security Labs
1. Oktober 2024
Elastic veröffentlicht 2024 Global Threat Report
Elastic Security Labs hat den 2024 Elastic Global Threat Report veröffentlicht, der die dringendsten Bedrohungen, Trends und Empfehlungen aufzeigt, um Unternehmen für das kommende Jahr zu schützen.
Für Sie ausgewählt
Security-Research
Alle anzeigenÜberlaufen: Wenn Ihr Drucker mehr als nur Tinte verschüttet
Elastic Security Labs erörtert Erkennungs- und Minderungsstrategien für Schwachstellen im CUPS-Drucksystem, die es nicht authentifizierten Angreifern ermöglichen, das System über IPP und mDNS auszunutzen, was zu Remote-Code-Ausführung (RCE) auf UNIX-basierten Systemen wie Linux, macOS, BSDs, ChromeOS und Solaris führt.
Sturm am Horizont: Einblicke in das AJCloud IoT-Ökosystem
WLAN-Kameras sind aufgrund ihrer Erschwinglichkeit und Bequemlichkeit beliebt, weisen aber oft Sicherheitslücken auf, die ausgenutzt werden können.
Verhaltenskodex: Mit Python betriebene Einbrüche der Demokratischen Volksrepublik Korea in gesicherte Netzwerke
Diese Publikation untersucht den strategischen Einsatz von Python und sorgfältig ausgearbeitetem Social Engineering durch die Demokratische Volksrepublik Korea und beleuchtet, wie sie mit immer neuen und effektiven Cyberangriffen in hochsichere Netzwerke einbricht.
Deaktivierung von Smart App Control
In diesem Artikel werden Windows Smart App Control und SmartScreen als Fallstudie für die Erforschung von Umgehungen reputationsbasierter Systeme untersucht und anschließend Erkennungen zur Abdeckung dieser Schwachstellen demonstriert.
Malware-Analyse
Alle anzeigenKatz and Mouse Game: MaaS Infostealers Adapt to Patched Chrome Defenses
Elastic Security Labs breaks down bypass implementations from the infostealer ecosystem’s reaction to Chrome 127's Application-Bound Encryption scheme.
Tricks and Treats: GHOSTPULSE’s new pixel-level deception
The updated GHOSTPULSE malware has evolved to embed malicious data directly within pixel structures, making it harder to detect and requiring new analysis and detection techniques.
Wetten auf Bots: Untersuchung von Linux-Malware, Krypto-Mining und Missbrauch von Glücksspiel-APIs
Die Kampagne REF6138 beinhaltete Kryptomining, DDoS-Angriffe und potenzielle Geldwäsche über Glücksspiel-APIs und verdeutlichte den Einsatz sich ständig weiterentwickelnder Malware und versteckter Kommunikationskanäle durch die Angreifer.
Verhaltenskodex: Mit Python betriebene Einbrüche der Demokratischen Volksrepublik Korea in gesicherte Netzwerke
Diese Publikation untersucht den strategischen Einsatz von Python und sorgfältig ausgearbeitetem Social Engineering durch die Demokratische Volksrepublik Korea und beleuchtet, wie sie mit immer neuen und effektiven Cyberangriffen in hochsichere Netzwerke einbricht.
Kampagnen
Alle anzeigenPIKABOT, ich wähle Sie!
Elastic Security Labs hat neue PIKABOT-Kampagnen beobachtet, darunter eine aktualisierte Version. PIKABOT ist ein weit verbreiteter Loader, den böswillige Akteure zum Verteilen zusätzlicher Nutzdaten verwenden.
Erste Untersuchungen entlarven JOKERSPY
Erkunden Sie JOKERSPY, eine kürzlich entdeckte Kampagne, die mit Python-Hintertüren auf Finanzinstitute abzielt. Dieser Artikel behandelt Aufklärung, Angriffsmuster und Methoden zur Identifizierung von JOKERSPY in Ihrem Netzwerk.
Elastische Anhänger SPECTRALVIPER
Elastic Security Labs hat die Malware-Familien P8LOADER, POWERSEAL und SPECTRALVIPER entdeckt, die auf ein nationales vietnamesisches Agrarunternehmen abzielen. REF2754 hat die gleichen Malware- und Motivationselemente wie die Aktivitätsgruppen REF4322 und APT32.
PHOREAL-Malware zielt auf den südostasiatischen Finanzsektor ab
Elastic Security hat die PHOREAL-Malware entdeckt, die Finanzorganisationen in Südostasien, insbesondere im vietnamesischen Finanzsektor, ins Visier nimmt.
Gruppen und Taktiken
Alle anzeigenWetten auf Bots: Untersuchung von Linux-Malware, Krypto-Mining und Missbrauch von Glücksspiel-APIs
Die Kampagne REF6138 beinhaltete Kryptomining, DDoS-Angriffe und potenzielle Geldwäsche über Glücksspiel-APIs und verdeutlichte den Einsatz sich ständig weiterentwickelnder Malware und versteckter Kommunikationskanäle durch die Angreifer.
Verhaltenskodex: Mit Python betriebene Einbrüche der Demokratischen Volksrepublik Korea in gesicherte Netzwerke
Diese Publikation untersucht den strategischen Einsatz von Python und sorgfältig ausgearbeitetem Social Engineering durch die Demokratische Volksrepublik Korea und beleuchtet, wie sie mit immer neuen und effektiven Cyberangriffen in hochsichere Netzwerke einbricht.
GrimResource - Microsoft Management Console für den Erstzugriff und die Umgehung
Forscher von Elastic haben eine neue Technik namens GrimResource entdeckt, die die vollständige Codeausführung über speziell gestaltete MSC-Dateien ermöglicht. Dies unterstreicht den Trend, dass gut ausgerüstete Angreifer innovative Erstzugriffsmethoden bevorzugen, um die Verteidigungsmaßnahmen zu umgehen.
Unsichtbare Miner: Enthüllung der Krypto-Mining-Aktivitäten von GHOSTENGINE
Elastic Security Labs hat REF4578 identifiziert, ein Intrusion-Set, das mehrere bösartige Module enthält und anfällige Treiber nutzt, um bekannte Sicherheitslösungen (EDRs) für Krypto-Mining zu deaktivieren.
Perspektiven
Sturm am Horizont: Einblicke in das AJCloud IoT-Ökosystem
WLAN-Kameras sind aufgrund ihrer Erschwinglichkeit und Bequemlichkeit beliebt, weisen aber oft Sicherheitslücken auf, die ausgenutzt werden können.
Kernel ETW ist das beste ETW
Diese Studie konzentriert sich auf die Bedeutung nativer Auditprotokolle in Secure-by-Design-Software und betont die Notwendigkeit, ETW-Logging auf Kernel-Ebene über Hooks im Benutzermodus durchzuführen, um den Manipulationsschutz zu verbessern.
Vergessen Sie anfällige Treiber – Admin ist alles, was Sie brauchen
„Bring Your Own Vulnerable Driver“ (BYOVD) ist eine zunehmend beliebte Angriffstechnik, bei der ein Bedrohungsakteur zusammen mit seiner Malware einen bekanntermaßen anfälligen signierten Treiber mitbringt, ihn in den Kernel lädt und ihn dann ausnutzt, um innerhalb des Kernels eine Aktion auszuführen, die er andernfalls nicht durchführen könnte. BYOVD wird seit über einem Jahrzehnt von hochentwickelten Bedrohungsakteuren eingesetzt und kommt bei Ransomware und handelsüblicher Malware immer häufiger vor.
Generative KI
Alle anzeigenElastic erweitert die LLM-Sicherheit mit standardisierten Feldern und Integrationen
Entdecken Sie die neuesten Fortschritte von Elastic im Bereich LLM-Sicherheit mit Schwerpunkt auf standardisierten Feldintegrationen und verbesserten Erkennungsfunktionen. Erfahren Sie, wie Sie Ihre Systeme durch die Einführung dieser Standards schützen können.
Einbettung von Sicherheit in LLM-Workflows: Der proaktive Ansatz von Elastic
Erfahren Sie, wie Elastic die Sicherheit direkt in große Sprachmodelle (LLMs) einbettet. Entdecken Sie unsere Strategien zur Erkennung und Entschärfung einiger der wichtigsten OWASP-Schwachstellen in LLM-Anwendungen und sorgen Sie so für sicherere KI-gesteuerte Anwendungen.
Beschleunigung der Elastic-Erkennungsmethoden mit LLMs
Erfahren Sie mehr darüber, wie Elastic Security Labs sich darauf konzentriert hat, unsere Erkennungs-Engineering-Workflows durch die Nutzung generativer KI-Funktionen zu beschleunigen.
Verwenden von LLMs und ESRE zum Suchen ähnlicher Benutzersitzungen
In unserem letzten Artikel haben wir uns mit der Verwendung des GPT-4 Large Language Model (LLM) beschäftigt, um Linux-Benutzersitzungen zu verdichten. Im Rahmen desselben Experiments haben wir einige Zeit darauf verwendet, Sitzungen zu untersuchen, die Ähnlichkeiten aufweisen. Diese ähnlichen Sitzungen können den Analysten anschließend dabei helfen, verdächtige Aktivitäten zu identifizieren.
Tools
Alle anzeigenSTIXy Situationen: Entkommen Sie Ihren Bedrohungsdaten
Strukturierte Bedrohungsdaten werden in der Regel mit STIX formatiert. Um Ihnen dabei zu helfen, diese Daten in Elasticsearch zu übertragen, veröffentlichen wir ein Python-Skript, das STIX in ein ECS-Format konvertiert, das Sie in Ihren Stack einfügen können.
Ins Detail: Wie wir Detonate betreiben
Erkunden Sie die technische Implementierung des Detonate-Systems, einschließlich der Erstellung von Sandkästen, der unterstützenden Technologie, der Telemetrieerfassung und wie man Dinge in die Luft jagt.
Klick, Klick... Bumm! Automatisiertes Testen von Schutzmaßnahmen mit Detonate
Um diesen Prozess zu automatisieren und unsere Schutzmaßnahmen im großen Maßstab zu testen, haben wir Detonate entwickelt, ein System, mit dem Sicherheitsforscher die Wirksamkeit unserer Elastic Security-Lösung automatisiert messen.
Auspacken von ICEDID
ICEDID verpackt seine Nutzlast in benutzerdefinierten Dateiformaten und mit einem eigenen Verschlüsselungsschema. Wir veröffentlichen eine Reihe von Tools, die den Entpackungsprozess automatisieren und Analysten und der Community helfen, auf ICEDID zu reagieren.