주제

내부

구독하기

FlipSwitch는 Linux 커널 방어를 우회하는 새로운 방법을 제시하여 사이버 공격자와 방어자 간의 지속적인 전투에서 새로운 기술을 공개합니다.

자리 표시자 이미지
이상하게 변형된 인증코드 서명 조사하기

이상하게 변형된 인증코드 서명 조사하기

모호한 오류 코드부터 문서화되지 않은 커널 루틴에 이르기까지 Windows Authenticode 유효성 검사 실패를 추적하는 심층 조사.

통화 스택: 더 이상 멀웨어에 대한 무임승차 금지

통화 스택: 더 이상 멀웨어에 대한 무임승차 금지

콜 스택이 맬웨어 탐지에 가져다주는 엄청난 가치와 아키텍처적 한계에도 불구하고 Elastic이 이를 중요한 Windows 엔드포인트 원격 분석으로 간주하는 이유에 대해 알아보세요.

잘못된 행동 양식: 기술이 아닌 도구 탐지

잘못된 행동 양식: 기술이 아닌 도구 탐지

실행 양식의 개념과 양식 중심 탐지가 행동 중심 탐지를 어떻게 보완할 수 있는지 살펴봅니다.

문서화되지 않은 커널 데이터 구조를 사용하여 핫키 기반 키로거 탐지하기

문서화되지 않은 커널 데이터 구조를 사용하여 핫키 기반 키로거 탐지하기

이 아티클에서는 핫키 기반 키로거란 무엇이며 이를 어떻게 탐지하는지 알아봅니다. 구체적으로 이러한 키로거가 키 입력을 가로채는 방법을 설명한 다음, 커널 공간에서 문서화되지 않은 핫키 테이블을 활용하는 탐지 기법을 소개합니다.

未公開のカーネルデータ構造を使ったホットキー型キーロガーの検知

未公開のカーネルデータ構造を使ったホットキー型キーロガーの検知

本記事では、ホットキー型キーロガーとは何かについてと、その検知方法について紹介します。具体的には、ホットキー型キーロガーがどのようにしてキー入力を盗み取るのかを解説した後、カーネルレベルに存在する未公開(Undocumented)のホットキーテーブルを活用した検知手法について説明します。

스마트 앱 컨트롤 분석

스마트 앱 컨트롤 분석

이 글에서는 Windows Smart App Control과 SmartScreen을 사례 연구로 삼아 평판 기반 시스템을 우회하는 방법을 연구하고 그러한 취약점을 보완하기 위한 탐지 방법을 시연합니다.

새로운 취약성 클래스를 소개합니다: 잘못된 파일 불변성

새로운 취약성 클래스를 소개합니다: 잘못된 파일 불변성

이 문서에서는 이전에 이름도 없던 Windows 취약성 클래스를 소개하여 가정이 얼마나 위험한지 보여주고 의도하지 않은 보안 결과를 설명합니다.

GrimResource - 초기 침투와 우회를 위한 Microsoft 관리 콘솔

GrimResource - 초기 침투와 우회를 위한 Microsoft 관리 콘솔

Elastic 연구원들은 특수하게 제작된 MSC 파일을 통해 전체 코드를 실행할 수 있는 새로운 기술인 GrimResource를 발견했습니다. 이는 자원이 풍부한 공격자들이 방어 체계를 우회하기 위해 새로운 초기 침입 방법을 선호하는 경향을 강조합니다.

두 배로 줄이기: 커널 ETW 콜 스택으로 인메모리 위협 탐지하기

두 배로 줄이기: 커널 ETW 콜 스택으로 인메모리 위협 탐지하기

Elastic Security 8.11에서는 인메모리 위협에 대한 효율성을 높이기 위해 커널 원격 분석 콜 스택 기반 탐지 기능을 추가했습니다.

PPLFault를 없애려는 Microsoft의 계획 내부

PPLFault를 없애려는 Microsoft의 계획 내부

이 연구 간행물에서는 맬웨어가 맬웨어 방지 프로세스 및 기타 중요한 보안 기능을 변조하기 어렵게 만드는 Windows 코드 무결성 하위 시스템의 향후 개선 사항에 대해 알아보세요.

통화 스택으로 커튼 벗기기

통화 스택으로 커튼 벗기기

이 문서에서는 규칙과 이벤트를 컨텍스트화하는 방법과 콜 스택을 활용하여 사용자 환경에서 발생하는 모든 알림을 더 잘 이해하는 방법을 보여드립니다.

판돈 높이기: 커널 호출 스택으로 인메모리 위협 탐지하기

판돈 높이기: 커널 호출 스택으로 인메모리 위협 탐지하기

저희는 공격자를 능가하는 혁신을 목표로 하며, 공격자의 최첨단 수법에 대한 보호 기능을 유지합니다. Elastic Security 8.8에서는 새로운 커널 호출 스택 기반 탐지 기능을 추가하여 인메모리 위협에 대한 향상된 효율성을 제공합니다.

효과적인 부모 관리 - LRPC 기반 부모 PID 스푸핑 탐지

효과적인 부모 관리 - LRPC 기반 부모 PID 스푸핑 탐지

이 연구에서는 프로세스 생성을 사례 연구로 삼아 지금까지의 회피 탐지 경쟁을 개괄하고, 현재 일부 탐지 접근 방식의 약점을 설명한 다음, LRPC 기반 회피에 대한 일반적인 접근 방식을 모색해 보려고 합니다.

Stopping Vulnerable Driver Attacks

Stopping Vulnerable Driver Attacks

This post includes a primer on kernel mode attacks, along with Elastic’s recommendations for securing users from kernel attacks leveraging vulnerable drivers.

재미와 수익을 위한 안티멀웨어 제품 샌드박싱

재미와 수익을 위한 안티멀웨어 제품 샌드박싱

이 문서에서는 공격자가 다양한 형태의 공격으로부터 맬웨어 방지 제품을 보호하는 Windows 보안 메커니즘을 우회할 수 있는 결함을 설명합니다.

그림자 속 진실 찾기

그림자 속 진실 찾기

하드웨어 스택 보호가 의도한 익스플로잇 완화 기능 외에 제공하는 세 가지 이점을 살펴보고 몇 가지 제한 사항을 설명하겠습니다.

Get-InjectedThreadEx - 스레드 생성 트램폴린 감지

Get-InjectedThreadEx - 스레드 생성 트램폴린 감지

이 블로그에서는 네 가지 프로세스 트램폴린 클래스 각각을 탐지하고 업데이트된 PowerShell 탐지 스크립트인 Get-InjectedThreadEx를 릴리스하는 방법을 보여드리겠습니다.

TTD 에코시스템에 대해 자세히 알아보기

TTD 에코시스템에 대해 자세히 알아보기

이 글은 최근 독립적인 연구 기간 동안 자세히 살펴본 Microsoft에서 개발한 시간 여행 디버깅(TTD) 기술에 초점을 맞춘 시리즈 중 첫 번째 글입니다.

인메모리 .NET 공격에 대한 헌팅

인메모리 .NET 공격에 대한 헌팅

더비콘 발표의 후속으로, 이 게시물에서는 탐지를 회피하기 위해 .NET 기반 인메모리 기술을 사용하는 공격자들의 새로운 동향에 대해 살펴봅니다.