Kategorie
Security-Research
28. September 2024
Überlaufen: Wenn Ihr Drucker mehr als nur Tinte verschüttet
Elastic Security Labs erörtert Erkennungs- und Minderungsstrategien für Schwachstellen im CUPS-Drucksystem, die es nicht authentifizierten Angreifern ermöglichen, das System über IPP und mDNS auszunutzen, was zu Remote-Code-Ausführung (RCE) auf UNIX-basierten Systemen wie Linux, macOS, BSDs, ChromeOS und Solaris führt.
Sturm am Horizont: Einblicke in das AJCloud IoT-Ökosystem
WLAN-Kameras sind aufgrund ihrer Erschwinglichkeit und Bequemlichkeit beliebt, weisen aber oft Sicherheitslücken auf, die ausgenutzt werden können.
Verhaltenskodex: Mit Python betriebene Einbrüche der Demokratischen Volksrepublik Korea in gesicherte Netzwerke
Diese Publikation untersucht den strategischen Einsatz von Python und sorgfältig ausgearbeitetem Social Engineering durch die Demokratische Volksrepublik Korea und beleuchtet, wie sie mit immer neuen und effektiven Cyberangriffen in hochsichere Netzwerke einbricht.
Deaktivierung von Smart App Control
In diesem Artikel werden Windows Smart App Control und SmartScreen als Fallstudie für die Erforschung von Umgehungen reputationsbasierter Systeme untersucht und anschließend Erkennungen zur Abdeckung dieser Schwachstellen demonstriert.
Einführung einer neuen Schwachstellenklasse: Unveränderlichkeit falscher Dateien
In diesem Artikel wird eine bisher unbenannte Klasse von Windows-Sicherheitsanfälligkeiten vorgestellt, die die Gefahren der Annahme veranschaulicht und einige unbeabsichtigte Sicherheitsfolgen beschreibt.
情報窃取から端末を守る
本記事ではElastic Securityにおいて、エンドポイント保護を担っているElastic Defendに今年(バージョン8.12より)新たに追加された、キーロガーおよびキーロギング検出機能について紹介します。
Schützen Sie Ihre Geräte vor Informationsdiebstahl
In diesem Artikel stellen wir die Keylogger- und Keylogging-Erkennungsfunktionen vor, die in diesem Jahr zu Elastic Defend hinzugefügt wurden (ab Version 8.12), das für den Endpunktschutz in Elastic Security verantwortlich ist.
500ms bis Mitternacht: XZ / liblzma Backdoor
Elastic Security Labs veröffentlicht eine erste Analyse der XZ Utility-Backdoor, einschließlich YARA-Regeln, osquery und KQL-Suchen, um potenzielle Kompromittierungen zu identifizieren.
Aufdeckung von Trends im Malware-Verhalten
Eine Analyse eines vielfältigen Datensatzes von Windows-Malware, der aus mehr als 100.000 Samples extrahiert wurde, um Einblicke in die am weitesten verbreiteten Taktiken, Techniken und Verfahren zu erhalten.
Überwachen von Okta-Bedrohungen mit Elastic Security
Dieser Artikel führt die Leser durch die Einrichtung eines Okta-Labors zur Erkennung von Bedrohungen und betont, wie wichtig es ist, SaaS-Plattformen wie Okta zu sichern. Darin wird das Erstellen einer Laborumgebung mit dem Elastic Stack, die Integration von SIEM-Lösungen und Okta beschrieben.
Ransomware im Honeypot: Wie wir Schlüssel mit klebrigen Canary-Dateien erbeuten
In diesem Artikel wird beschrieben, wie Verschlüsselungsschlüssel von Ransomware mithilfe des Elastic Defend Ransomware-Schutzes erfasst werden.
Starterleitfaden zum Verständnis von Okta
Dieser Artikel befasst sich mit der Architektur und den Diensten von Okta und legt eine solide Grundlage für die Bedrohungsforschung und das Detection Engineering. Unverzichtbare Lektüre für alle, die die Bedrohungssuche und -erkennung in Okta-Umgebungen beherrschen wollen.
Verdoppelung: Erkennen von In-Memory-Bedrohungen mit Kernel-ETW-Aufrufstapeln
Mit Elastic Security 8.11 haben wir weitere Kernel-Telemetrie-Call-Stack-basierte Erkennungen hinzugefügt, um die Wirksamkeit gegen In-Memory-Bedrohungen zu erhöhen.
Google Cloud für Cyber-Datenanalysen
In diesem Artikel wird erläutert, wie wir mit Google Cloud eine umfassende Datenanalyse von Cyberbedrohungen durchführen, von der Datenextraktion und -vorverarbeitung bis hin zur Trendanalyse und -darstellung. Es unterstreicht den Wert von BigQuery, Python und Google Sheets und zeigt, wie Daten für eine aufschlussreiche Cybersicherheitsanalyse verfeinert und visualisiert werden können.
Signalisierung von innen: Wie eBPF mit Signalen interagiert
In diesem Artikel wird die Semantik von UNIX-Signalen untersucht, wenn sie aus einem eBPF-Programm generiert werden.
Die Straffung von ES|QL-Abfrage und Regelvalidierung: Integration mit GitHub CI
ES|QL ist die neue Pipe-Abfragesprache von Elastic. Elastic Security Labs nutzt diese neue Funktion voll aus und führt Sie durch die Durchführung der Validierung von ES|QL-Regeln für die Detection Engine.
Enthüllung der BLOODALCHEMY-Hintertür
BLOODALCHEMY ist eine neue, aktiv entwickelte Hintertür, die eine gutartige Binärdatei als Einspritzvehikel nutzt und Teil des REF5961 Intrusion-Sets ist.
Wir stellen vor: Das REF5961 Einbruchsset
Das REF5961 Intrusion Set enthüllt drei neue Malware-Familien, die auf ASEAN-Mitglieder abzielen. Der Bedrohungsakteur, der diese Intrusion-Suite nutzt, entwickelt seine Fähigkeiten weiter und reift weiter.
Hinter den Kulissen von Microsofts Plan, PPLFault zu töten
In dieser Forschungspublikation erfahren wir mehr über bevorstehende Verbesserungen des Windows-Subsystems für die Codeintegrität, die es Malware erschweren, Anti-Malware-Prozesse und andere wichtige Sicherheitsfunktionen zu manipulieren.
Vorhang lüften mit Aufrufstapeln
In diesem Artikel zeigen wir Ihnen, wie wir Regeln und Ereignisse kontextualisieren und wie Sie Aufruflisten nutzen können, um alle Warnungen, die in Ihrer Umgebung auftreten, besser zu verstehen.
Ins Detail: Wie wir Detonate betreiben
Erkunden Sie die technische Implementierung des Detonate-Systems, einschließlich der Erstellung von Sandkästen, der unterstützenden Technologie, der Telemetrieerfassung und wie man Dinge in die Luft jagt.
Den Einsatz erhöhen: Erkennen von In-Memory-Bedrohungen mit Kernel-Aufrufstapeln
Unser Ziel ist es, Angreifer zu übertreffen und Schutz vor den neuesten Angreifern zu bieten. Mit Elastic Security 8.8 haben wir neue Kernel-Call-Stack-basierte Erkennungen hinzugefügt, die uns eine verbesserte Wirksamkeit gegen In-Memory-Bedrohungen bieten.
Klick, Klick... Bumm! Automatisiertes Testen von Schutzmaßnahmen mit Detonate
Um diesen Prozess zu automatisieren und unsere Schutzmaßnahmen im großen Maßstab zu testen, haben wir Detonate entwickelt, ein System, mit dem Sicherheitsforscher die Wirksamkeit unserer Elastic Security-Lösung automatisiert messen.
Die Zukunft der Sicherheit mit ChatGPT
Kürzlich kündigte OpenAI APIs für Ingenieure an, um ChatGPT- und Whisper-Modelle in ihre Apps und Produkte zu integrieren. Eine Zeit lang konnten Ingenieure die REST-API-Aufrufe für ältere Modelle verwenden und ansonsten die ChatGPT-Schnittstelle über ihre Website verwenden.
Elastic Global Threat Report – Übersicht über die mehrteilige Serie
Jeden Monat analysiert das Team der Elastic Security Labs einen anderen Trend oder eine andere Korrelation aus dem Elastic Global Threat Report. Dieser Beitrag gibt einen Überblick über die einzelnen Publikationen.
Effective Parenting - Erkennung von LRPC-basiertem PID-Spoofing
Anhand der Prozessentwicklung als Fallstudie wird in dieser Studie das bisherige Wettrüsten zwischen Umgehung und Erkennung skizziert, die Schwächen einiger aktueller Erkennungsansätze beschrieben und dann die Suche nach einem generischen Ansatz für LRPC-basierte Umgehung verfolgt.
Jagd nach verdächtigen Windows-Bibliotheken zur Umgehung von Ausführungs- und Verteidigungsmaßnahmen
Erfahren Sie mehr über das Erkennen von Bedrohungen durch das Durchsuchen von DLL-Ladeereignissen, eine Möglichkeit, das Vorhandensein von bekannter und unbekannter Schadsoftware in lauten Prozessereignisdaten aufzudecken.
Sandboxing von Antimalware-Produkten zum Spaß und zum Profit
Dieser Artikel zeigt einen Fehler, der es Angreifern ermöglicht, einen Windows-Sicherheitsmechanismus zu umgehen, der Anti-Malware-Produkte vor verschiedenen Formen von Angriffen schützt.
NETWIRE Extraktion dynamischer Konfigurationen
Elastic Security Labs befasst sich mit dem NETWIRE-Trojaner und veröffentlicht ein Tool zum dynamischen Extrahieren von Konfigurationsdateien.
Die Wahrheit im Schatten finden
Lassen Sie uns drei Vorteile erörtern, die Hardware Stack Protections über die beabsichtigte Funktion zur Exploit-Abwehr hinaus mit sich bringt, und einige Einschränkungen erläutern.
Zusammenfassung der Sicherheitslücke: Follina, CVE-2022-30190
Elastic stellt eine neue Malware-Signatur bereit, um die Verwendung der Follina-Schwachstelle zu identifizieren. Erfahren Sie mehr in diesem Beitrag.
Get-InjectedThreadEx – Erkennen von Garnerstellungstrampolinen
In diesem Blog zeigen wir, wie Sie jede der vier Klassen von Prozesstrampolining erkennen können, und veröffentlichen ein aktualisiertes PowerShell-Erkennungsskript – Get-InjectedThreadEx
EMOTET Dynamische Konfigurationsextraktion
Elastic Security Labs befasst sich mit dem EMOTET-Trojaner und veröffentlicht ein Tool zum dynamischen Extrahieren von Konfigurationsdateien mithilfe von Code-Emulatoren.
Analyse der Log4Shell-Schwachstelle & CVE-2021-45046
In diesem Beitrag behandeln wir die nächsten Schritte, die das Elastic Security-Team unternimmt, damit sich Benutzer weiterhin vor CVE-2021-44228 oder Log4Shell schützen können.
Tauchen Sie ein in das TTD-Ökosystem
Dies ist der erste Teil einer Reihe, die sich auf die von Microsoft entwickelte Time Travel Debugging (TTD)-Technologie konzentriert, die in einem kürzlich durchgeführten unabhängigen Forschungszeitraum ausführlich untersucht wurde.
Zusammenfassung der KNOTWEED-Bewertung
KNOTWEED setzt die Subzero-Spyware mithilfe von 0-Day-Exploits für Adobe Reader und das Windows-Betriebssystem ein. Sobald der erste Zugriff erlangt wurde, werden verschiedene Abschnitte von Subzero verwendet, um die Persistenz aufrechtzuerhalten und Aktionen auf dem Host auszuführen.
Erkennen der Ausnutzung von CVE-2021-44228 (log4j2) mit Elastic Security
Dieser Blogpost gibt einen Überblick über CVE-2021-44228 und zeigt, wie Elastic Security-Nutzer erkennen können, ob die Schwachstelle in ihrer Umgebung aktiv ausgenutzt wird. Wenn Neues bekannt wird, wird der Post aktualisiert.
Erkennungsregeln für SIGRed-Schwachstellen
Die SIGRed-Sicherheitsanfälligkeit betrifft alle Systeme, die den Windows DNS-Serverdienst (Windows 2003+) nutzen. Um Ihre Umgebung zu schützen, empfehlen wir, die in diesem Blogbeitrag enthaltene Erkennungslogik mithilfe von Technologien wie Elastic Security zu implementieren.
Reaktion von Elastic auf die Spring4Shell-Schwachstelle (CVE-2022-22965)
Geben Sie auf Führungsebene Details zu CVE-2022-22965 an, einer kürzlich bekannt gewordenen Schwachstelle zur Remotecodeausführung (Remote Code Execution, RCE), die auch als "Spring4Shell" bekannt ist.
Erkennen und Reagieren auf verschmutzte Rohre mit Elastic
Elastic Security veröffentlicht eine Erkennungslogik für den Dirty Pipe-Exploit.
Holen Sie das Beste aus Transformatoren in Elastic heraus
In diesem Blog werden wir kurz darüber sprechen, wie wir ein Transformer-Modell, das für eine MLM-Aufgabe (Masked Language Modeling) gedacht ist, fein abgestimmt haben, um es für eine Klassifizierungsaufgabe geeignet zu machen.
Auf der Jagd nach In-Memory-.NET-Angriffen
Als Fortsetzung meiner DerbyCon-Präsentation wird dieser Beitrag einen aufkommenden Trend untersuchen, bei dem Angreifer . NET-basierte In-Memory-Techniken, um der Erkennung zu entgehen
Jagd in Erinnerung
Threat Hunters haben die schwierige Aufgabe, riesige Quellen unterschiedlicher Daten zu durchsuchen, um gegnerische Aktivitäten in jeder Phase des Angriffs zu lokalisieren.
Sammeln und Operationalisieren von Bedrohungsdaten aus dem Mozi-Botnet
Das Mozi-Botnet ist eine fortlaufende Malware-Kampagne, die auf ungesicherte und anfällige Netzwerkgeräte abzielt. In diesem Beitrag wird die Analystenreise beim Sammeln, Analysieren und Operationalisieren von Bedrohungsdaten aus dem Mozi-Botnet vorgestellt.
Erkennung und Reaktion auf die aktiv ausgenutzten ProxyShell-Schwachstellen
In der letzten Woche hat Elastic Security die Ausnutzung von Microsoft Exchange-Schwachstellen im Zusammenhang mit ProxyShell beobachtet. Lesen Sie den Beitrag, um neu veröffentlichte Details zu dieser Aktivität zu finden.
Nimbuspwn: Nutzung von Schwachstellen, um Linux per Privilege Escalation auszunutzen
Das Microsoft 365 Defender-Team hat einen Beitrag veröffentlicht, in dem mehrere identifizierte Schwachstellen aufgeführt sind. Diese Schwachstellen ermöglichen es gegnerischen Gruppen, Berechtigungen auf Linux-Systemen zu erweitern, was die Bereitstellung von Payloads, Ransomware oder anderen Angriffen ermöglicht.
Okta-Transparenz und Erkennung mit Dorothy und Elastic Security testen
Dorothy ist ein Tool, mit dem Sicherheitsteams die Transparenz- und Erkennungsfunktionen für ihre Okta-Umgebung testen können. IAM-Lösungen werden oft unzureichend überwacht, obwohl sie ein häufiges Ziel für Angreifer sind. In diesem Blogeintrag möchte ich Ihnen Dorothy vorstellen.
Offensive Tools nutzen: Erstellen von Erkennungen gegen Koadic mithilfe von EQL
Finden Sie neue Wege, um Verhaltenserkennungen für Post-Exploitation-Frameworks wie Koadic mithilfe der Event Query Language (EQL) zu erstellen.
Praktisches Security Engineering: Stateful Detection
Durch die Formalisierung der zustandsbehafteten Erkennung in Ihren Regeln sowie in Ihrem Engineering-Prozess erhöhen Sie die Erkennungsabdeckung für zukünftige und vergangene Übereinstimmungen. In diesem Blogbeitrag erfahren Sie, warum die zustandsbehaftete Erkennung ein wichtiges Konzept ist, das implementiert werden muss.