Elastic Security Labs의 주요 위협 연구

Elastic Security Labs가 2024년 Elastic 글로벌 위협 보고서를 발표했습니다. 이 보고서는 다가오는 한 해 동안 조직을 안전하게 운영하기 위해 가장 시급한 위협, 트렌드, 및 권장 사항을 제공합니다.

자리 표시자 이미지

주요

Katz and Mouse Game: MaaS Infostealers Adapt to Patched Chrome Defensesby Jia Yu Chan, Salim Bitam, Daniel Stepanic, Samir Bousseaden, Cyril François, Seth Goodwin28 October 2024
Katz and Mouse Game: MaaS Infostealers Adapt to Patched Chrome Defenses
Tricks and Treats: GHOSTPULSE’s new pixel-level deceptionby Salim Bitam19 October 2024
Tricks and Treats: GHOSTPULSE’s new pixel-level deception
Elastic으로 위협 헌팅 한 단계 업그레이드하기by Terrance DeJesus, Mika Ayenson, PhD, Samir Bousseaden, Justin Ibarra18 October 2024
Elastic으로 위협 헌팅 한 단계 업그레이드하기
CUPS 위기: 프린터에서 새어 나오는 보안 허점저자 : Mika Ayenson, PhD, Terrance DeJesus, Eric Forte, Ruben Groenewoud2024년 9월 28일
CUPS 위기: 프린터에서 새어 나오는 보안 허점
트위터에서 Elastic Security Labs를 팔로우하세요.뉴스레터 구독

보안 연구

모두 보기
CUPS 위기: 프린터에서 새어 나오는 보안 허점

CUPS 위기: 프린터에서 새어 나오는 보안 허점

Elastic Security Labs는 CUPS 프린팅 시스템의 취약점에 대한 탐지 및 완화 전략을 논의합니다. 이 취약점은 인증되지 않은 공격자가 IPP 및 mDNS를 통해 시스템을 악용하여 Linux, macOS, BSDs, ChromeOS, Solaris와 같은 UNIX 기반 시스템에서 원격 코드 실행(RCE)을 가능하게 합니다.

위기의 전조: AJCloud IoT 생태계를 들여다보다

위기의 전조: AJCloud IoT 생태계를 들여다보다

Wi-Fi 카메라는 저렴한 가격과 편리함 때문에 인기가 많지만, 종종 보안 취약점이 있어 악용될 수 있습니다.

북한의 침입 코드: Python으로 무장한 네트워크 공격 사례

북한의 침입 코드: Python으로 무장한 네트워크 공격 사례

이 글은 북한이 Python과 정교하게 설계된 사회 공학을 전략적으로 활용하는 방법을 다룹니다. 이를 통해 그들이 효과적인 진화된 사이버 공격으로 고도로 안전한 네트워크를 어떻게 침투하는지를 조명합니다.

스마트 앱 컨트롤 분석

스마트 앱 컨트롤 분석

이 글에서는 Windows Smart App Control과 SmartScreen을 사례 연구로 삼아 평판 기반 시스템을 우회하는 방법을 연구하고 그러한 취약점을 보완하기 위한 탐지 방법을 시연합니다.

Malware 분석

모두 보기
Katz and Mouse Game: MaaS Infostealers Adapt to Patched Chrome Defenses

Katz and Mouse Game: MaaS Infostealers Adapt to Patched Chrome Defenses

Elastic Security Labs breaks down bypass implementations from the infostealer ecosystem’s reaction to Chrome 127's Application-Bound Encryption scheme.

Tricks and Treats: GHOSTPULSE’s new pixel-level deception

Tricks and Treats: GHOSTPULSE’s new pixel-level deception

The updated GHOSTPULSE malware has evolved to embed malicious data directly within pixel structures, making it harder to detect and requiring new analysis and detection techniques.

봇 활용: Linux 악성코드, 암호화폐 채굴 및 도박 API 악용 조사

봇 활용: Linux 악성코드, 암호화폐 채굴 및 도박 API 악용 조사

REF6138 캠페인은 암호화폐 채굴, DDoS 공격, 그리고 도박 API를 통한 잠재적 자금 세탁을 포함하며, 공격자들이 진화하는 악성코드와 은밀한 통신 채널을 사용한다는 점을 강조했습니다.

북한의 침입 코드: Python으로 무장한 네트워크 공격 사례

북한의 침입 코드: Python으로 무장한 네트워크 공격 사례

이 글은 북한이 Python과 정교하게 설계된 사회 공학을 전략적으로 활용하는 방법을 다룹니다. 이를 통해 그들이 효과적인 진화된 사이버 공격으로 고도로 안전한 네트워크를 어떻게 침투하는지를 조명합니다.

캠페인

모두 보기
새로운 PIKABOT 캠페인 분석

새로운 PIKABOT 캠페인 분석

Elastic Security Labs는 업데이트된 버전을 포함한 새로운 PIKABOT 캠페인을 관찰했습니다. PIKABOT은 악성 행위자들이 추가 페이로드를 배포하는 데 널리 사용되는 로더입니다.

JOKERSPY를 폭로하는 초기 연구

JOKERSPY를 폭로하는 초기 연구

Python 백도어를 이용하여 금융 기관을 노리는 최근에 발견된 캠페인인 JOKERSPY를 탐구합니다. 이 글에서는 정찰, 공격 패턴, 그리고 네트워크에서 JOKERSPY를 식별하는 방법을 다룹니다.

SPECTRALVIPER에 대한 Elastic의 대응

SPECTRALVIPER에 대한 Elastic의 대응

Elastic Security Labs는 베트남 농업 기업을 타겟으로 하는 P8LOADER, POWERSEAL, SPECTRALVIPER 악성코드 패밀리를 발견했습니다. REF2754는 REF4322 및 APT32 활동 그룹의 악성코드 및 동기 요소를 공유합니다.

PHOREAL 멀웨어, 동남아 금융 부문을 노리다

PHOREAL 멀웨어, 동남아 금융 부문을 노리다

Elastic Security는 동남아시아 금융 기관, 특히 베트남 금융 부문을 대상으로 하는 PHOREAL 멀웨어를 발견했습니다.

그룹 및 전술

모두 보기
봇 활용: Linux 악성코드, 암호화폐 채굴 및 도박 API 악용 조사

봇 활용: Linux 악성코드, 암호화폐 채굴 및 도박 API 악용 조사

REF6138 캠페인은 암호화폐 채굴, DDoS 공격, 그리고 도박 API를 통한 잠재적 자금 세탁을 포함하며, 공격자들이 진화하는 악성코드와 은밀한 통신 채널을 사용한다는 점을 강조했습니다.

북한의 침입 코드: Python으로 무장한 네트워크 공격 사례

북한의 침입 코드: Python으로 무장한 네트워크 공격 사례

이 글은 북한이 Python과 정교하게 설계된 사회 공학을 전략적으로 활용하는 방법을 다룹니다. 이를 통해 그들이 효과적인 진화된 사이버 공격으로 고도로 안전한 네트워크를 어떻게 침투하는지를 조명합니다.

GrimResource - 초기 침투와 우회를 위한 Microsoft 관리 콘솔

GrimResource - 초기 침투와 우회를 위한 Microsoft 관리 콘솔

Elastic 연구원들은 특수하게 제작된 MSC 파일을 통해 전체 코드를 실행할 수 있는 새로운 기술인 GrimResource를 발견했습니다. 이는 자원이 풍부한 공격자들이 방어 체계를 우회하기 위해 새로운 초기 침입 방법을 선호하는 경향을 강조합니다.

보이지 않는 채굴자: GHOSTENGINE의 암호화폐 채굴 작업 공개

보이지 않는 채굴자: GHOSTENGINE의 암호화폐 채굴 작업 공개

Elastic Security Labs는 REF4578이라는 침입 세트를 식별했습니다. 이 세트는 여러 악성 모듈을 포함하고 있으며 취약한 드라이버를 이용해 암호화폐 채굴을 위해 알려진 보안 솔루션(EDR)을 비활성화합니다.

새로운 시각

위기의 전조: AJCloud IoT 생태계를 들여다보다

위기의 전조: AJCloud IoT 생태계를 들여다보다

Wi-Fi 카메라는 저렴한 가격과 편리함 때문에 인기가 많지만, 종종 보안 취약점이 있어 악용될 수 있습니다.

Kernel ETW, 최고의 ETW

Kernel ETW, 최고의 ETW

이 연구는 보안 설계 소프트웨어에서 네이티브 감사 로그의 중요성에 중점을 두고 있습니다. 특히 사용자 모드 훅보다 커널 수준의 ETW 로깅이 안티탬퍼 보호를 강화하는 데 필수적임을 강조합니다.

취약한 드라이버 대신 관리자 권한 확보

취약한 드라이버 대신 관리자 권한 확보

BYOVD(Bring Your Own Vulnerable Driver)는 점점 더 인기를 얻고 있는 공격자 기법입니다. 이 방법은 위협 행위자가 취약한 것으로 알려진 서명된 드라이버를 악성코드와 함께 가져와 커널에 로드한 후 이를 악용하여 일반적으로는 수행할 수 없는 커널 내 작업을 실행하는 것을 말합니다. BYOVD는 10년 이상 고급 위협 행위자들에 의해 사용되어 왔으며 최근 랜섬웨어와 일반 악성코드에서도 점점 더 흔히 사용되고 있습니다.

생성형 AI

모두 보기
Elastic, 표준화된 필드와 통합으로 LLM 보안 강화

Elastic, 표준화된 필드와 통합으로 LLM 보안 강화

표준화된 필드 통합과 향상된 탐지 기능에 중점을 두는 Elastic의 LLM 보안 분야 최신 발전에 대해 알아보세요. 이러한 표준을 채택하여 시스템을 보호하는 방법을 확인해 보세요.

Elastic의 선제적 접근: LLM 워크플로우에 보안을 내재화

Elastic의 선제적 접근: LLM 워크플로우에 보안을 내재화

대규모 언어 모델(LLM)에 보안을 직접 내재화하는 Elastic의 탐구에 대해 알아보세요. LLM 애플리케이션에서 주요 OWASP 취약점을 탐지하고 완화하기 위한 전략을 살펴보세요. 이를 통해 더 안전하고 보안이 강화된 AI 기반 애플리케이션을 구현할 수 있습니다.

LLM으로 Elastic 탐지 기술 가속화

LLM으로 Elastic 탐지 기술 가속화

Elastic Security Labs가 생성형 AI 기능을 더욱 심화하고 탐지 엔지니어링 워크플로 가속화에 주력하는 방법을 자세히 알아보세요.

LLM과 ESRE로 유사 사용자 세션 탐색

LLM과 ESRE로 유사 사용자 세션 탐색

이전 글에서 GPT-4 대형 언어 모델(LLM)을 활용하여 Linux 사용자 세션을 요약하는 방법을 살펴보았습니다. 같은 실험의 맥락에서, 우리는 유사한 특성을 가진 세션들을 분석하는 데 시간을 할애했습니다. 이러한 유사한 세션은 이후 분석가들이 관련된 의심 활동을 식별하는 데 도움이 될 수 있습니다.

도구

모두 보기
STIXy 상황: ECS로 위협 데이터 최적화

STIXy 상황: ECS로 위협 데이터 최적화

구조화된 위협 데이터는 일반적으로 STIX 형식으로 작성됩니다. 이 데이터를 Elasticsearch에 가져올 수 있도록 STIX를 ECS 형식으로 변환하여 스택에 수집할 수 있는 파이썬 스크립트를 배포하고 있습니다.

Detonate 실행 방법 심층 분석

Detonate 실행 방법 심층 분석

Detonate 시스템의 기술적 구현을 자세히 알아보세요. 여기에는 샌드박스 생성, 지원 기술, 원격 분석 수집, 그리고 시스템의 기능을 시험하는 방법이 포함됩니다.

Detonate를 활용한 자동화된 보호 테스트

Detonate를 활용한 자동화된 보호 테스트

프로세스를 자동화하고 대규모로 보호 기능을 테스트하기 위해 Detonate를 구축했습니다. 이 시스템은 보안 연구 엔지니어들이 Elastic Security 솔루션의 효율성을 자동으로 측정하는 데 사용됩니다.

ICEDID 분석

ICEDID 분석

ICEDID는 사용자 지정 파일 형식과 암호화 방식을 사용하여 페이로드를 압축하는 것으로 알려져 있습니다. 분석가와 커뮤니티가 ICEDID에 대응할 수 있도록 압축 해제 프로세스를 자동화하는 도구 세트를 배포하고 있습니다.