Detection Engineering

쉘터 이용: 야생에서 악용되는 상업적 회피 프레임워크

Elastic Security Labs는 최근 불법적으로 획득한 상용 우회 프레임워크 버전인 SHELLTER를 사용해 익스플로잇 후 페이로드를 배포하는 인포스틸러의 출현을 탐지했습니다.

Microsoft Entra ID OAuth 피싱 및 탐지

이 문서에서는 Microsoft Entra ID의 OAuth 피싱 및 토큰 기반 악용에 대해 살펴봅니다. 로그인 활동 중 토큰, 범위, 디바이스 동작에 대한 에뮬레이션 및 분석을 통해 방어자가 OAuth 오용을 탐지하고 추적하는 데 사용할 수 있는 충실도 높은 신호를 파악합니다.

잘못된 행동 양식: 기술이 아닌 도구 탐지

실행 양식의 개념과 양식 중심 탐지가 행동 중심 탐지를 어떻게 보완할 수 있는지 살펴봅니다.

비트바이비트 - 북한 최대 암호화폐 강도의 에뮬레이션

손상된 macOS 개발자와 AWS 피벗을 통해 북한 최대의 암호화폐 절도 사건을 충실하게 에뮬레이션한 것입니다.

현재 이용 가능: 2025 Elastic의 탐지 엔지니어링 현황 보고서

Elastic의 탐지 엔지니어링 현황( 2025 )에서는 SIEM 및 EDR 규칙 집합을 생성, 유지 관리 및 평가하는 방법을 살펴봅니다.

AWS SNS 어뷰징: 데이터 유출 및 피싱

최근 내부 협업을 통해 공개적으로 알려진 SNS 어뷰징 시도와 데이터 소스에 대한 지식을 조사하여 탐지 기능을 개발했습니다.

문서화되지 않은 커널 데이터 구조를 사용하여 핫키 기반 키로거 탐지하기

이 아티클에서는 핫키 기반 키로거란 무엇이며 이를 어떻게 탐지하는지 알아봅니다. 구체적으로 이러한 키로거가 키 입력을 가로채는 방법을 설명한 다음, 커널 공간에서 문서화되지 않은 핫키 테이블을 활용하는 탐지 기법을 소개합니다.

Linux 탐지 엔지니어링 - Linux 지속성에 대한 대망의 피날레

이 시리즈를 마치면 일반적이고 희귀한 Linux 지속성 기법에 대한 탄탄한 지식을 갖추게 될 것입니다. 아울러 일반 및 고급 공격자 기능에 대한 탐지를 효과적으로 엔지니어링하는 방법도 이해할 수 있습니다.

위협 탐지를 위한 AWS S3 SSE-C 랜섬 에뮬레이션

이번 아티클에서는 위협 행위자가 랜섬/갈취 작업을 위해 Amazon S3의 고객 제공 키를 사용한 서버 측 암호화(SSE-C)를 활용하는 방법을 살펴봅니다.

Linux 탐지 엔지니어링 - 지속성 메커니즘의 정상에 다가가기

Building on foundational concepts and techniques explored in the previous publications, this post discusses some creative and/or complex persistence mechanisms.

未公開のカーネルデータ構造を使ったホットキー型キーロガーの検知

本記事では、ホットキー型キーロガーとは何かについてと、その検知方法について紹介します。具体的には、ホットキー型キーロガーがどのようにしてキー入力を盗み取るのかを解説した後、カーネルレベルに存在する未公開(Undocumented)のホットキーテーブルを活用した検知手法について説明します。

행동 규칙 보호를 위한 Elastic 바운티 프로그램 발표

Elastic은 보안 바운티 프로그램의 확장을 시작하여 연구원에게 Windows 엔드포인트부터 시작하여 회피 및 우회 기술에 대한 SIEM 및 EDR 규칙을 테스트할 수 있는 기회를 제공합니다. 이 이니셔티브는 보안 커뮤니티와의 협력을 강화하여 진화하는 위협에 대해 Elastic의 방어를 강력하게 유지하도록 합니다.

Linux 탐지 엔지니어링 - 지속성 메커니즘에 대한 연속

This document continues the exploration of Linux detection engineering, emphasizing advancements in monitoring persistence mechanisms. By building on past practices and insights, it provides a roadmap for improving detection strategies in complex environments.

Detonating Beacons to Illuminate Detection Gaps

Learn how Elastic Security leveraged open-source BOFs to achieve detection engineering goals during our most recent ON week.

Exploring AWS STS AssumeRoot

Elastic의 SIEM과 CloudTrail 데이터를 사용해 권한 에스컬레이션과 계정 침해로부터 보호하기 위한 AWS STS AssumeRoot와 그 위험, 탐지 전략, 실제 시나리오에 대해 알아보세요.

Streamlining Security: Integrating Amazon Bedrock with Elastic

이 문서에서는 Amazon Bedrock 통합을 설정하고 Elastic의 사전 구축된 탐지 규칙을 활성화하여 보안 운영을 간소화하는 프로세스를 안내합니다.

Elastic으로 위협 헌팅 한 단계 업그레이드하기

Elastic is releasing a threat hunting package designed to aid defenders with proactive detection queries to identify actor-agnostic intrusions.

CUPS 위기: 프린터에서 새어 나오는 보안 허점

Elastic Security Labs는 CUPS 프린팅 시스템의 취약점에 대한 탐지 및 완화 전략을 논의합니다. 이 취약점은 인증되지 않은 공격자가 IPP 및 mDNS를 통해 시스템을 악용하여 Linux, macOS, BSDs, ChromeOS, Solaris와 같은 UNIX 기반 시스템에서 원격 코드 실행(RCE)을 가능하게 합니다.

Elastic releases the Detection Engineering Behavior Maturity Model

Using this maturity model, security teams can make structured, measurable, and iteritive improvements to their detection engineering teams..

Linux 탐지 엔지니어링 - 지속성 메커니즘에 대한 속편

In this final part of this Linux persistence series, we'll continue exploring persistence mechanisms on Linux systems, focusing on more advanced techniques and how to detect them.

Linux Detection Engineering - A primer on persistence mechanisms

In this second part of the Linux Detection Engineering series, we map multiple Linux persistence mechanisms to the MITRE ATT&CK framework, explain how they work, and how to detect them.

Now in beta: New Detection as Code capabilities

情報窃取から端末を守る

本記事ではElastic Securityにおいて、エンドポイント保護を担っているElastic Defendに今年(バージョン8.12より)新たに追加された、キーロガーおよびキーロギング検出機能について紹介します。

정보 도용으로부터 디바이스 보호

이 글에서는 Elastic Security에서 엔드포인트 보호를 담당하는 Elastic Defend(버전 8.12부터 시작)에 올해 추가된 키로거 및 키로깅 탐지 기능을 소개합니다.

Elastic, 표준화된 필드와 통합으로 LLM 보안 강화

표준화된 필드 통합과 향상된 탐지 기능에 중점을 두는 Elastic의 LLM 보안 분야 최신 발전에 대해 알아보세요. 이러한 표준을 채택하여 시스템을 보호하는 방법을 확인해 보세요.

Elastic의 선제적 접근: LLM 워크플로우에 보안을 내재화

대규모 언어 모델(LLM)에 보안을 직접 내재화하는 Elastic의 탐구에 대해 알아보세요. LLM 애플리케이션에서 주요 OWASP 취약점을 탐지하고 완화하기 위한 전략을 살펴보세요. 이를 통해 더 안전하고 보안이 강화된 AI 기반 애플리케이션을 구현할 수 있습니다.

Auditd를 사용한 Linux 탐지 엔지니어링

이 문서에서는 탐지 엔지니어링을 위한 Auditd 및 Auditd Manager 사용에 대해 자세히 알아보세요.

In-the-Wild Windows LPE 0-days: Insights & Detection Strategies

This article will evaluate detection methods for Windows local privilege escalation techniques based on dynamic behaviors analysis using Elastic Defend features.

Unlocking Power Safely: Privilege Escalation via Linux Process Capabilities

Organizations need to understand how Linux features contribute to their attack surface via privilege escalation and how to effectively monitor intrusion attempts using free and open detection capabilities.

멀웨어 행동 트렌드 공개

10만 개 이상의 샘플에서 추출한 다양한 Windows 멀웨어 데이터 세트를 분석하여 가장 널리 퍼진 전술, 기술 및 절차에 대한 인사이트를 얻었습니다.

Elastic Security로 Okta 위협 모니터링하기

이 문서에서는 Okta 위협 탐지 연구소를 설립하는 방법을 안내하며, Okta와 같은 SaaS 플랫폼 보안의 중요성을 강조합니다. Elastic Stack으로 실험실 환경 만들기, SIEM 솔루션 통합, Okta에 대해 자세히 설명합니다.

허니팟의 랜섬웨어: 끈적끈적한 카나리아 파일로 키를 캡처하는 방법

이 문서에서는 Elastic Defend 랜섬웨어 보호 기능을 사용하여 랜섬웨어로부터 암호화 키를 캡처하는 프로세스에 대해 설명합니다.

Okta 이해를 위한 초보자 가이드

이 문서에서는 위협 연구 및 탐지 엔지니어링을 위한 견고한 기반을 마련하는 Okta의 아키텍처와 서비스에 대해 자세히 설명합니다. Okta 환경에서 위협 헌팅 및 탐지를 마스터하고자 하는 분들을 위한 필독서입니다.

두 배로 줄이기: 커널 ETW 콜 스택으로 인메모리 위협 탐지하기

Elastic Security 8.11에서는 인메모리 위협에 대한 효율성을 높이기 위해 커널 원격 분석 콜 스택 기반 탐지 기능을 추가했습니다.

사이버 데이터 분석용 Google 클라우드

이 문서에서는 데이터 추출 및 전처리부터 트렌드 분석 및 프레젠테이션에 이르기까지 Google Cloud를 사용하여 포괄적인 사이버 위협 데이터 분석을 수행하는 방법을 설명합니다. 이 강좌에서는 BigQuery, Python, Google 스프레드시트의 가치를 강조하며, 통찰력 있는 사이버 보안 분석을 위해 데이터를 정제하고 시각화하는 방법을 소개합니다.

내부로부터의 신호: eBPF가 신호와 상호 작용하는 방식

이 문서에서는 eBPF 프로그램에서 생성된 UNIX 신호의 몇 가지 의미에 대해 살펴봅니다.

ES|QL 쿼리 및 규칙 유효성 검사 간소화: GitHub CI와 통합하기

ES|QL은 Elastic의 새로운 파이핑 쿼리 언어입니다. 이 새로운 기능을 최대한 활용하여 Elastic Security Labs에서는 탐지 엔진에 대한 ES|QL 규칙의 유효성 검사를 실행하는 방법을 안내합니다.

LLM으로 Elastic 탐지 기술 가속화

Elastic Security Labs가 생성형 AI 기능을 더욱 심화하고 탐지 엔지니어링 워크플로 가속화에 주력하는 방법을 자세히 알아보세요.

LLM과 ESRE로 유사 사용자 세션 탐색

이전 글에서 GPT-4 대형 언어 모델(LLM)을 활용하여 Linux 사용자 세션을 요약하는 방법을 살펴보았습니다. 같은 실험의 맥락에서, 우리는 유사한 특성을 가진 세션들을 분석하는 데 시간을 할애했습니다. 이러한 유사한 세션은 이후 분석가들이 관련된 의심 활동을 식별하는 데 도움이 될 수 있습니다.

통화 스택으로 커튼 벗기기

이 문서에서는 규칙과 이벤트를 컨텍스트화하는 방법과 콜 스택을 활용하여 사용자 환경에서 발생하는 모든 알림을 더 잘 이해하는 방법을 보여드립니다.

LLM을 사용하여 사용자 세션 요약하기

이 게시글에서는 GPT-4를 사용한 실험을 통해 얻은 교훈과 사용자 세션을 요약하여 주요 시사점에 대해 이야기합니다.

Detonate 실행 방법 심층 분석

Detonate 시스템의 기술적 구현을 자세히 알아보세요. 여기에는 샌드박스 생성, 지원 기술, 원격 분석 수집, 그리고 시스템의 기능을 시험하는 방법이 포함됩니다.

판돈 높이기: 커널 호출 스택으로 인메모리 위협 탐지하기

저희는 공격자를 능가하는 혁신을 목표로 하며, 공격자의 최첨단 수법에 대한 보호 기능을 유지합니다. Elastic Security 8.8에서는 새로운 커널 호출 스택 기반 탐지 기능을 추가하여 인메모리 위협에 대한 향상된 효율성을 제공합니다.

새로운 Kibana 통합으로 도메인 생성 알고리즘(DGA) 활동 감지하기

Kibana의 통합 앱에 DGA 탐지 패키지를 추가했습니다. 클릭 한 번으로 수집 파이프라인 구성, 이상 징후 탐색 작업, 탐색 규칙을 포함한 DGA 모델과 관련 자산을 설치하고 사용할 수 있습니다.

Exploring Windows UAC Bypasses: Techniques and Detection Strategies

In this research article, we will take a look at a collection of UAC bypasses, investigate some of the key primitives they depend on, and explore detection opportunities.

Detonate를 활용한 자동화된 보호 테스트

프로세스를 자동화하고 대규모로 보호 기능을 테스트하기 위해 Detonate를 구축했습니다. 이 시스템은 보안 연구 엔지니어들이 Elastic Security 솔루션의 효율성을 자동으로 측정하는 데 사용됩니다.

실행 및 방어 회피를 위한 의심스러운 Windows 라이브러리 찾기

노이즈가 많은 프로세스 이벤트 데이터에서 알려진 멀웨어와 알려지지 않은 멀웨어의 존재를 파악하는 한 가지 방법인 DLL 로드 이벤트를 통해 위협을 발견하는 방법에 대해 자세히 알아보세요.

Detect Credential Access with Elastic Security

Elastic Endpoint Security provides events that enable defenders with visibility on techniques and procedures which are commonly leveraged to access sensitive files and registry objects.

새로운 Elastic 통합으로 살아있는 공격 탐지하기

Kibana의 통합 앱에 현지 생활(LotL) 탐지 패키지를 추가했습니다. 클릭 한 번으로 이상 징후 탐지 구성 및 탐지 규칙을 포함한 ProblemChild 모델 및 관련 에셋을 설치하고 사용할 수 있습니다.

Hunting for Lateral Movement using Event Query Language

Elastic Event Query Language (EQL) correlation capabilities enable practitioners to capture complex behavior for adversary Lateral Movement techniques. Learn how to detect a variety of such techniques in this blog post.

Elastic을 사용하여 비콘 악성코드 식별하기

이 블로그에서는 비콘 식별 프레임워크를 사용하여 사용자 환경에서 비콘 멀웨어를 식별하는 방법을 안내합니다.

Ingesting threat data with the Threat Intel Filebeat module

Tutorial that walks through setting up Filebeat to push threat intelligence feeds into your Elastic Stack.

Stopping Vulnerable Driver Attacks

This post includes a primer on kernel mode attacks, along with Elastic’s recommendations for securing users from kernel attacks leveraging vulnerable drivers.

The Elastic Container Project for Security Research

The Elastic Container Project provides a single shell script that will allow you to stand up and manage an entire Elastic Stack using Docker. This open source project enables rapid deployment for testing use cases.

Google Workspace Attack Surface

During this multipart series, we’ll help you understand what GW is and some of the common risks to be aware of, while encouraging you to take control of your enterprise resources.

Google Workspace Attack Surface

During part two of this multipart series, we’ll help you understand how to setup a GW lab for threat detection and research.

Get-InjectedThreadEx - 스레드 생성 트램폴린 감지

이 블로그에서는 네 가지 프로세스 트램폴린 클래스 각각을 탐지하고 업데이트된 PowerShell 탐지 스크립트인 Get-InjectedThreadEx를 릴리스하는 방법을 보여드리겠습니다.

Log4Shell 취약점 분석 & CVE-2021-45046

이 게시물에서는 사용자가 CVE-2021-44228 또는 Log4Shell로부터 자신을 지속적으로 보호하기 위해 Elastic 보안 팀이 취하고 있는 다음 단계에 대해 설명합니다.

Security operations: Cloud monitoring and detection with Elastic Security

As companies migrate to cloud, so too do opportunist adversaries. That's why our Elastic Security team members have created free detection rules for protecting users' cloud platforms like AWS and Okta. Learn more in this blog post.

KNOTWEED 평가 요약

KNOTWEED는 Adobe Reader 및 Windows 운영 체제에 대한 0일 익스플로잇을 사용하여 Subzero 스파이웨어를 배포합니다. 초기 액세스 권한이 확보되면 Subzero의 여러 섹션을 사용하여 지속성을 유지하고 호스트에서 작업을 수행합니다.

Elastic Security를 사용한 CVE-2021-44228(log4j2) 취약점 공격 탐지

이 블로그 게시물은 CVE-2021-44228의 요약을 제공하며 Elastic Security 사용자가 사용자 환경에서 액티브 취약점 공격을 찾을 수 있는 탐지를 제공합니다. 더 자세한 내용을 알게 되면 이 게시물에 대한 추가 업데이트를 제공해 드리겠습니다.

SIGRed 취약점에 대한 탐지 규칙

SIGRed 취약점은 Windows DNS 서버 서비스(Windows 2003 이상)를 활용하는 모든 시스템에 영향을 미칩니다. 사용자 환경을 방어하려면 Elastic Security와 같은 기술을 사용하여 이 블로그 게시물에 포함된 탐지 로직을 구현하는 것이 좋습니다.

Spring4Shell 취약성(CVE-2022-22965)에 대한 Elastic의 대응

최근에 공개된 원격 코드 실행(RCE) 취약점인 "Spring4Shell"로도 알려진 CVE-2022-22965에 대한 임원급 세부 정보를 제공하세요.

Handy Elastic Tools for the Enthusiastic Detection Engineer

Tools like the EQLPlaygound, RTAs, and detection-rules CLI are great resources for getting started with EQL, threat hunting, and detection engineering respectively.

Elastic으로 더티 파이프 감지 및 대응하기

Elastic Security는 더티 파이프 익스플로잇에 대한 탐지 로직을 공개합니다.

적의 공격 기법 101: Elastic Security를 사용한 지속성 찾기(2부)

Elastic Endpoint Security와 Elastic SIEM을 사용하여 악의적인 지속성 기술을 대규모로 추적하고 탐지하는 방법을 알아보세요.

인메모리 .NET 공격에 대한 헌팅

더비콘 발표의 후속으로, 이 게시물에서는 탐지를 회피하기 위해 .NET 기반 인메모리 기술을 사용하는 공격자들의 새로운 동향에 대해 살펴봅니다.

메모리에서 사냥하기

위협 헌터는 공격의 모든 단계에서 적의 활동을 정확히 찾아내기 위해 방대한 양의 다양한 데이터 소스를 선별하는 어려운 작업을 담당합니다.

님버스폰: 권한 에스컬레이션을 통해 취약점을 악용하여 Linux를 익스플로잇하는 방법

Microsoft 365 Defender 팀에서 확인된 몇 가지 취약점을 자세히 설명하는 게시물을 발표했습니다. 이러한 취약점을 통해 공격 그룹은 Linux 시스템에 대한 권한을 상승시켜 페이로드, 랜섬웨어 또는 기타 공격을 배포할 수 있습니다.

Dorothy와 Elastic Security로 Okta 통합 가시성 및 탐지 테스트

Dorothy는 보안 팀이 Okta 환경의 통합 가시성과 탐지 기능을 테스트할 수 있는 도구입니다. IAM 솔루션은 빈번하게 공격 대상이 되지만 모니터링은 제대로 되고 있지 않습니다. 이 게시물에서는 Dorothy를 시작하는 방법을 알아봅니다.

공격적인 툴 수용: EQL을 사용하여 코아딕에 대한 탐지 구축하기

이벤트 쿼리 언어(EQL)를 사용하여 코아딕과 같은 익스플로잇 후 프레임워크에 대한 행동 탐지를 구축하는 새로운 방법을 찾아보세요.

적의 공격 기법 101: Elastic Security를 사용한 지속성 찾기(1부)

Elastic Endpoint Security와 Elastic SIEM을 사용하여 악의적인 지속성 기술을 대규모로 추적하고 탐지하는 방법을 알아보세요.

실용적인 보안 엔지니어링: 상태 저장 탐지

규칙과 엔지니어링 프로세스에서 상태 저장 탐지를 공식화하면 미래와 과거의 일치에 대한 탐지 범위를 늘릴 수 있습니다. 이 블로그 게시물에서 상태 저장 탐지가 구현해야 하는 중요한 개념인 이유를 알아보세요.

Elastic Security opens public detection rules repo

Elastic Security has opened its detection rules repository to the world. We will develop rules in the open alongside the community, and we’re welcoming your community-driven detections. This is an opportunity to share collective security knowledge.