Tema
Investigación en seguridad
28 de septiembre de 2024
Desbordamiento: cuando tu impresora derrama más que tinta
Elastic Security Labs analiza las estrategias de detección y mitigación de vulnerabilidades en el sistema de impresión CUPS, que permiten a los atacantes no autenticados explotar el sistema a través de IPP y mDNS, lo que resulta en la ejecución remota de código (RCE) en sistemas basados en UNIX, como Linux, macOS, BSDs, ChromeOS y Solaris.
Tormenta en el horizonte: dentro del ecosistema IoT de AJCloud
Las cámaras Wi-Fi son populares debido a su precio accesible y conveniencia, pero muchas veces tienen vulnerabilidades de seguridad que pueden ser explotadas.
Código de conducta: intrusiones impulsadas por Python de la RPDC en redes seguras
Con la investigación del uso estratégico de Python por parte de la RPDC y la ingeniería social cuidadosamente diseñada, esta publicación arroja luz sobre cómo se violan redes altamente seguras con ataques cibernéticos efectivos y en evolución.
Desmantelamiento del control de aplicaciones inteligente
En este artículo, se analizarán Windows Smart App Control y SmartScreen como un caso de estudio para investigar las vulnerabilidades en los sistemas basados en la reputación, y luego se mostrarán cuáles son las detecciones para cubrir esas debilidades.
Presentamos una nueva clase de vulnerabilidad: la inmutabilidad de archivos falsos
En este artículo se presenta una clase de vulnerabilidad de Windows sin nombre anterior que demuestra los peligros de la suposición y describe algunas consecuencias de seguridad no deseadas.
情報窃取から端末を守る
本記事ではElastic Securityにおいて、エンドポイント保護を担っているElastic Defendに今年(バージョン8.12より)新たに追加された、キーロガーおよびキーロギング検出機能について紹介します。
Proteger sus dispositivos contra el robo de información
En este artículo, presentaremos las características de keylogger y detección de keylogging agregadas este año a Elastic Defend (a partir de la versión 8.12), que es responsable de la protección de endpoints en Elastic Security.
500 ms hasta la medianoche: puerta trasera XZ / liblzma
Elastic Security Labs está publicando un análisis inicial de la puerta trasera de XZ Utility, que incluye reglas YARA, osquery y búsquedas de KQL para identificar posibles compromisos.
Revelando las tendencias del comportamiento del malware
Un análisis de un conjunto de datos diverso de malware para Windows extraído de más de 100.000 muestras que revela información sobre las tácticas, técnicas y procedimientos más frecuentes.
Monitoreo de amenazas de Okta con Elastic Security
Este artículo guía a los lectores a través del establecimiento de un laboratorio de detección de amenazas de Okta, enfatizando la importancia de proteger las plataformas SaaS como Okta. Detalla la creación de un entorno de laboratorio con el Elastic Stack, la integración de soluciones SIEM y Okta.
Ransomware en el honeypot: cómo capturamos las claves con archivos canary pegajosos
En este artículo, se describe el proceso de captura de claves de cifrado del ransomware mediante la protección contra ransomware de Elastic Defender.
Guía de inicio para entender Okta
Este artículo profundiza en la arquitectura y los servicios de Okta, sentando una base estable para la investigación de amenazas y la ingeniería de detección. Lectura esencial para aquellos que buscan dominar la caza y detección de amenazas en entornos Okta.
Duplicación: Detección de amenazas en memoria con pilas de llamadas ETW del kernel
Con Elastic Security 8.11, agregamos más detecciones basadas en la pila de llamadas de telemetría del kernel para aumentar la eficacia contra las amenazas en memoria.
Google Cloud para el análisis de datos cibernéticos
En este artículo, se explica cómo llevamos a cabo un análisis exhaustivo de datos sobre amenazas cibernéticas con Google Cloud, desde la extracción y el preprocesamiento de datos hasta el análisis y la presentación de tendencias. Enfatiza el valor de BigQuery, Python y Google Sheets, mostrando cómo refinar y visualizar datos para un análisis de ciberseguridad perspicaz.
Señalización desde dentro: cómo interactúa eBPF con las señales
Este artículo explora algunas de las semánticas de las señales UNIX cuando se generan a partir de un programa eBPF.
Optimización de ES|Validación de reglas y consultas de QL: Integración con GitHub CI
ES|QL es el nuevo lenguaje de consultas canalizadas de Elastic. Aprovechando al máximo esta nueva característica, Elastic Security Labs explica cómo ejecutar la validación de ES|Reglas de QL para el motor de detección.
Revelando la puerta trasera de BLOODALCHEMY
BLOODALCHEMY es una nueva puerta trasera desarrollada activamente que aprovecha un binario benigno como vehículo de inyección, y es parte del conjunto de intrusión REF5961.
Presentación del conjunto de intrusión REF5961
El conjunto de intrusión REF5961 revela tres nuevas familias de malware dirigidas a los afiliados a la ASEAN. El actor de amenazas que aprovecha este conjunto de intrusiones continúa desarrollando y madurando sus capacidades.
Dentro del plan de Microsoft para acabar con PPLFault
En esta publicación de investigación, aprenderemos sobre las próximas mejoras en el subsistema de integridad del código de Windows que dificultarán que el malware manipule los procesos antimalware y otras características de seguridad importantes.
Descorrer la cortina con pilas de llamadas
En este artículo, le mostraremos cómo contextualizamos las reglas y los eventos, y cómo puede aprovechar las pilas de llamadas para comprender mejor las alertas que encuentre en su entorno.
Entre la maleza: cómo ejecutamos Detonate
Analiza la implementación técnica del sistema Detonate, incluida la creación de sandbox, la tecnología de soporte, la recopilación de telemetría y cómo hacer explotar cosas.
Subiendo la apuesta: Detección de amenazas en memoria con pilas de llamadas del kernel
Nuestro objetivo es superar en innovación a los adversarios y mantener las protecciones contra la vanguardia de los atacantes. Con Elastic Security 8.8, agregamos nuevas detecciones basadas en la pila de llamadas del kernel que nos brindan una eficacia mejorada contra las amenazas en memoria.
Clic, clic... ¡bum! Automatizar las pruebas de protección con Detonate
Para automatizar este proceso y probar nuestras protecciones a escala, creamos Detonate, un sistema que usan los ingenieros de investigación de seguridad para medir la eficacia de nuestra solución Elastic Security de manera automatizada.
Explorando el futuro de la seguridad con ChatGPT
Recientemente, OpenAI anunció API para que los ingenieros integren los modelos de ChatGPT y Whisper en sus aplicaciones y productos. Durante algún tiempo, los ingenieros podían usar las llamadas a la API REST para modelos más antiguos y, de lo contrario, usar la interfaz de ChatGPT a través de su sitio web.
Descripción general del serial multiparte de Elastic Global Threat Report
Cada mes, el equipo de Elastic Security Labs analiza una tendencia o correlación diferente del Reporte Global de Amenazas de Elastic. Esta publicación proporciona una descripción general de esas publicaciones individuales.
Crianza efectiva: detección de la suplantación de identidad PID de los padres basada en LRPC
Empleando la creación de procesos como estudio de caso, esta investigación describirá la carrera armamentista de detección de evasión hasta la fecha, describirá las debilidades de algunos enfoques de detección actuales y luego seguirá la búsqueda de un enfoque genérico para la evasión basada en LRPC.
Búsqueda de bibliotecas de Windows sospechosas para la ejecución y la evasión de la defensa
Obtenga más información sobre cómo detectar amenazas mediante la búsqueda de eventos de carga de DLL, una forma de revelar la presencia de malware conocido y desconocido en datos de eventos de proceso ruidosos.
Productos antimalware de sandboxing para divertir y obtener beneficios
Este artículo muestra una falla que permite a los atacantes eludir un mecanismo de seguridad de Windows que protege los productos antimalware de varias formas de ataque.
Extracción de configuración dinámica de NETWIRE
Elastic Security Labs analiza el troyano NETWIRE y lanza una herramienta para extraer dinámicamente los archivos de configuración.
Encontrar la verdad en las sombras
Analicemos tres beneficios que las protecciones de pila de hardware aportan más allá de la capacidad de mitigación de exploits prevista y expliquemos algunas limitaciones.
Resumen de vulnerabilidad: Follina, CVE-2022-30190
Elastic está desplegando una nueva firma de malware para identificar el uso de la vulnerabilidad Follina. Obtenga más información en esta publicación.
Get-InjectedThreadEx: detección de trampolines de creación de subprocesos
En este blog, demostraremos cómo detectar cada una de las cuatro clases de trampolín de procesos y lanzar un script de detección de PowerShell actualizado: Get-InjectedThreadEx
Extracción de configuración dinámica de EMOTET
Elastic Security Labs analiza el troyano EMOTET y lanza una herramienta para extraer dinámicamente archivos de configuración mediante emuladores de código.
Análisis de la vulnerabilidad Log4Shell y CVE-2021-45046
En esta publicación, cubrimos los próximos pasos que el equipo de Elastic Security está tomando para que los usuarios continúen proteger contra CVE-2021-44228 o Log4Shell.
Sumérgete en el ecosistema TTD
Este es el primero de un serial centrado en la tecnología de depuración de viajes en el tiempo (TTD) desarrollada por Microsoft que se exploró en detalle durante un reciente periodo de investigación independiente.
Resumen de la evaluación de KNOTWEED
KNOTWEED despliega el software espía Subzero mediante el uso de exploits de día 0 para Adobe Reader y el sistema operativo Windows. Una vez que se obtiene el acceso inicial, emplea diferentes secciones de Subzero para mantener la persistencia y realizar acciones en el host.
Detección de explotación de CVE-2021-44228 (Log4j2) con Elastic Security
En esta entrada de blog, se proporciona un resumen de CVE-2021-44228 y se proporcionan a los usuarios de Elastic Security detecciones para encontrar la explotación activa de la vulnerabilidad en su entorno. Se proporcionarán más actualizaciones a esta publicación a medida que aprendamos más.
Reglas de detección para vulnerabilidades SIGRed
La vulnerabilidad SIGRed afecta a todos los sistemas que aprovechan el servicio de servidor DNS de Windows (Windows 2003+). Para defender tu entorno, te recomendamos implementar la lógica de detección incluida en esta entrada de blog empleando tecnología como Elastic Security.
Respuesta de Elastic a la vulnerabilidad de Spring4Shell (CVE-2022-22965)
Proporcione detalles de nivel ejecutivo sobre CVE-2022-22965, una vulnerabilidad de ejecución remota de código (RCE) recientemente revelada, también conocida como "Spring4Shell".
Detección y respuesta a tuberías sucias con Elastic
Elastic Security está lanzando lógica de detección para el exploit Dirty Pipe.
Cómo aprovechar al máximo los transformadores en Elastic
En este blog, hablaremos brevemente sobre cómo ajustamos un modelo de transformador destinado a una tarea de modelado de lenguaje enmascarado (MLM), para que sea adecuado para una tarea de clasificación.
A la caza de ataques de .NET en memoria
Como seguimiento a mi presentación en DerbyCon, esta publicación investigará una tendencia emergente de adversarios que usan . Técnicas en memoria basadas en NET para evadir la detección
Caza en la memoria
Los cazadores de amenazas se encargan de la difícil tarea de examinar vastas fuentes de datos diversos para identificar la actividad de los adversarios en cualquier etapa del ataque.
Recopilación y puesta en práctica de datos de amenazas de la botnet Mozi
La botnet Mozi es una campaña de malware en curso dirigida a dispositivos de red no seguros y vulnerables. Esta publicación mostrará el viaje de los analistas para recopilar, analizar y poner en funcionamiento los datos de amenazas de la botnet Mozi.
Detección y respuesta a las vulnerabilidades de ProxyShell explotadas activamente
En la última semana, Elastic Security observó la explotación de vulnerabilidades de Microsoft Exchange asociadas con ProxyShell. Revise la publicación para encontrar detalles recién publicados sobre esta actividad.
Nimbuspwn: Aprovechando las vulnerabilidades para explotar Linux a través de la escalada de privilegios
El equipo de Microsoft 365 Defender publicó una publicación en la que se detallan varias vulnerabilidades identificadas. Estas vulnerabilidades permiten a los grupos adversarios aumentar los privilegios en los sistemas Linux, lo que permite el despliegue de cargas útiles, ransomware u otros ataques.
Prueba la visibilidad y detección de Okta con Dorothy y Elastic Security
Dorothy es una herramienta para que los equipos de seguridad prueben sus capacidades de visibilidad y detección para su entorno Okta. Las soluciones de IAM suelen ser el objetivo de los adversarios, pero están mal monitorear. Aprenda cómo comenzar con Dorothy en esta publicación.
Adopción de herramientas ofensivas: creación de detecciones contra Koadic mediante EQL
Encuentre nuevas formas de crear detecciones de comportamiento en marcos posteriores a la explotación, como Koadic, mediante el lenguaje de consulta de eventos (EQL).
Ingeniería de seguridad práctica: Detección con estado
Al formalizar la detección con estado en las reglas, así como en el proceso de ingeniería, aumenta la cobertura de detección en coincidencias futuras y pasadas. En esta entrada de blog, aprenderá por qué la detección con estado es un concepto importante que se debe implementar.