주제

보안 연구

Elastic Security Labs는 CUPS 프린팅 시스템의 취약점에 대한 탐지 및 완화 전략을 논의합니다. 이 취약점은 인증되지 않은 공격자가 IPP 및 mDNS를 통해 시스템을 악용하여 Linux, macOS, BSDs, ChromeOS, Solaris와 같은 UNIX 기반 시스템에서 원격 코드 실행(RCE)을 가능하게 합니다.

자리 표시자 이미지
위기의 전조: AJCloud IoT 생태계를 들여다보다

위기의 전조: AJCloud IoT 생태계를 들여다보다

Wi-Fi 카메라는 저렴한 가격과 편리함 때문에 인기가 많지만, 종종 보안 취약점이 있어 악용될 수 있습니다.

북한의 침입 코드: Python으로 무장한 네트워크 공격 사례

북한의 침입 코드: Python으로 무장한 네트워크 공격 사례

이 글은 북한이 Python과 정교하게 설계된 사회 공학을 전략적으로 활용하는 방법을 다룹니다. 이를 통해 그들이 효과적인 진화된 사이버 공격으로 고도로 안전한 네트워크를 어떻게 침투하는지를 조명합니다.

스마트 앱 컨트롤 분석

스마트 앱 컨트롤 분석

이 글에서는 Windows Smart App Control과 SmartScreen을 사례 연구로 삼아 평판 기반 시스템을 우회하는 방법을 연구하고 그러한 취약점을 보완하기 위한 탐지 방법을 시연합니다.

새로운 취약성 클래스를 소개합니다: 잘못된 파일 불변성

새로운 취약성 클래스를 소개합니다: 잘못된 파일 불변성

이 문서에서는 이전에 이름도 없던 Windows 취약성 클래스를 소개하여 가정이 얼마나 위험한지 보여주고 의도하지 않은 보안 결과를 설명합니다.

情報窃取から端末を守る

情報窃取から端末を守る

本記事ではElastic Securityにおいて、エンドポイント保護を担っているElastic Defendに今年(バージョン8.12より)新たに追加された、キーロガーおよびキーロギング検出機能について紹介します。

정보 도용으로부터 디바이스 보호

정보 도용으로부터 디바이스 보호

이 글에서는 Elastic Security에서 엔드포인트 보호를 담당하는 Elastic Defend(버전 8.12부터 시작)에 올해 추가된 키로거 및 키로깅 탐지 기능을 소개합니다.

자정까지 500밀리초: XZ/리블즈마 백도어

자정까지 500밀리초: XZ/리블즈마 백도어

Elastic Security Labs는 잠재적인 침해를 식별하기 위해 YARA 규칙, osquery, KQL 검색을 포함한 XZ 유틸리티 백도어에 대한 초기 분석을 공개합니다.

멀웨어 행동 트렌드 공개

멀웨어 행동 트렌드 공개

10만 개 이상의 샘플에서 추출한 다양한 Windows 멀웨어 데이터 세트를 분석하여 가장 널리 퍼진 전술, 기술 및 절차에 대한 인사이트를 얻었습니다.

Elastic Security로 Okta 위협 모니터링하기

Elastic Security로 Okta 위협 모니터링하기

이 문서에서는 Okta 위협 탐지 연구소를 설립하는 방법을 안내하며, Okta와 같은 SaaS 플랫폼 보안의 중요성을 강조합니다. Elastic Stack으로 실험실 환경 만들기, SIEM 솔루션 통합, Okta에 대해 자세히 설명합니다.

허니팟의 랜섬웨어: 끈적끈적한 카나리아 파일로 키를 캡처하는 방법

허니팟의 랜섬웨어: 끈적끈적한 카나리아 파일로 키를 캡처하는 방법

이 문서에서는 Elastic Defend 랜섬웨어 보호 기능을 사용하여 랜섬웨어로부터 암호화 키를 캡처하는 프로세스에 대해 설명합니다.

Okta 이해를 위한 초보자 가이드

Okta 이해를 위한 초보자 가이드

이 문서에서는 위협 연구 및 탐지 엔지니어링을 위한 견고한 기반을 마련하는 Okta의 아키텍처와 서비스에 대해 자세히 설명합니다. Okta 환경에서 위협 헌팅 및 탐지를 마스터하고자 하는 분들을 위한 필독서입니다.

두 배로 줄이기: 커널 ETW 콜 스택으로 인메모리 위협 탐지하기

두 배로 줄이기: 커널 ETW 콜 스택으로 인메모리 위협 탐지하기

Elastic Security 8.11에서는 인메모리 위협에 대한 효율성을 높이기 위해 커널 원격 분석 콜 스택 기반 탐지 기능을 추가했습니다.

사이버 데이터 분석용 Google 클라우드

사이버 데이터 분석용 Google 클라우드

이 문서에서는 데이터 추출 및 전처리부터 트렌드 분석 및 프레젠테이션에 이르기까지 Google Cloud를 사용하여 포괄적인 사이버 위협 데이터 분석을 수행하는 방법을 설명합니다. 이 강좌에서는 BigQuery, Python, Google 스프레드시트의 가치를 강조하며, 통찰력 있는 사이버 보안 분석을 위해 데이터를 정제하고 시각화하는 방법을 소개합니다.

내부로부터의 신호: eBPF가 신호와 상호 작용하는 방식

내부로부터의 신호: eBPF가 신호와 상호 작용하는 방식

이 문서에서는 eBPF 프로그램에서 생성된 UNIX 신호의 몇 가지 의미에 대해 살펴봅니다.

ES|QL 쿼리 및 규칙 유효성 검사 간소화: GitHub CI와 통합하기

ES|QL 쿼리 및 규칙 유효성 검사 간소화: GitHub CI와 통합하기

ES|QL은 Elastic의 새로운 파이핑 쿼리 언어입니다. 이 새로운 기능을 최대한 활용하여 Elastic Security Labs에서는 탐지 엔진에 대한 ES|QL 규칙의 유효성 검사를 실행하는 방법을 안내합니다.

블러드알케미 백도어 공개

블러드알케미 백도어 공개

혈액화학은 양성 바이너리를 인젝션 수단으로 활용하는 새로운 백도어이며, REF5961 인트루전 세트의 일부입니다.

REF5961 침입 세트 소개

REF5961 침입 세트 소개

REF5961 침입 세트는 아세안 회원을 대상으로 하는 세 가지 새로운 멀웨어군을 공개합니다. 이 침입 세트를 활용하는 위협 행위자는 계속해서 기능을 개발하고 발전시키고 있습니다.

PPLFault를 없애려는 Microsoft의 계획 내부

PPLFault를 없애려는 Microsoft의 계획 내부

이 연구 간행물에서는 맬웨어가 맬웨어 방지 프로세스 및 기타 중요한 보안 기능을 변조하기 어렵게 만드는 Windows 코드 무결성 하위 시스템의 향후 개선 사항에 대해 알아보세요.

통화 스택으로 커튼 벗기기

통화 스택으로 커튼 벗기기

이 문서에서는 규칙과 이벤트를 컨텍스트화하는 방법과 콜 스택을 활용하여 사용자 환경에서 발생하는 모든 알림을 더 잘 이해하는 방법을 보여드립니다.

Detonate 실행 방법 심층 분석

Detonate 실행 방법 심층 분석

Detonate 시스템의 기술적 구현을 자세히 알아보세요. 여기에는 샌드박스 생성, 지원 기술, 원격 분석 수집, 그리고 시스템의 기능을 시험하는 방법이 포함됩니다.

판돈 높이기: 커널 호출 스택으로 인메모리 위협 탐지하기

판돈 높이기: 커널 호출 스택으로 인메모리 위협 탐지하기

저희는 공격자를 능가하는 혁신을 목표로 하며, 공격자의 최첨단 수법에 대한 보호 기능을 유지합니다. Elastic Security 8.8에서는 새로운 커널 호출 스택 기반 탐지 기능을 추가하여 인메모리 위협에 대한 향상된 효율성을 제공합니다.

Detonate를 활용한 자동화된 보호 테스트

Detonate를 활용한 자동화된 보호 테스트

프로세스를 자동화하고 대규모로 보호 기능을 테스트하기 위해 Detonate를 구축했습니다. 이 시스템은 보안 연구 엔지니어들이 Elastic Security 솔루션의 효율성을 자동으로 측정하는 데 사용됩니다.

ChatGPT를 통한 보안의 미래 모색

ChatGPT를 통한 보안의 미래 모색

최근 OpenAI는 엔지니어가 앱과 제품에 ChatGPT 및 Whisper 모델을 통합할 수 있는 API를 발표했습니다. 한동안 엔지니어는 이전 모델의 경우 REST API 호출을 사용하고, 그렇지 않은 경우 웹사이트를 통해 ChatGPT 인터페이스를 사용할 수 있었습니다.

Elastic 글로벌 위협 보고서 멀티파트 시리즈 개요

Elastic 글로벌 위협 보고서 멀티파트 시리즈 개요

Elastic 보안 연구실 팀은 매달 Elastic 글로벌 위협 보고서에서 다른 트렌드나 상관관계를 분석합니다. 이 게시물은 이러한 개별 게시물의 개요를 제공합니다.

효과적인 부모 관리 - LRPC 기반 부모 PID 스푸핑 탐지

효과적인 부모 관리 - LRPC 기반 부모 PID 스푸핑 탐지

이 연구에서는 프로세스 생성을 사례 연구로 삼아 지금까지의 회피 탐지 경쟁을 개괄하고, 현재 일부 탐지 접근 방식의 약점을 설명한 다음, LRPC 기반 회피에 대한 일반적인 접근 방식을 모색해 보려고 합니다.

실행 및 방어 회피를 위한 의심스러운 Windows 라이브러리 찾기

실행 및 방어 회피를 위한 의심스러운 Windows 라이브러리 찾기

노이즈가 많은 프로세스 이벤트 데이터에서 알려진 멀웨어와 알려지지 않은 멀웨어의 존재를 파악하는 한 가지 방법인 DLL 로드 이벤트를 통해 위협을 발견하는 방법에 대해 자세히 알아보세요.

재미와 수익을 위한 안티멀웨어 제품 샌드박싱

재미와 수익을 위한 안티멀웨어 제품 샌드박싱

이 문서에서는 공격자가 다양한 형태의 공격으로부터 맬웨어 방지 제품을 보호하는 Windows 보안 메커니즘을 우회할 수 있는 결함을 설명합니다.

네트워크 동적 구성 추출

네트워크 동적 구성 추출

Elastic Security Labs에서 NETWIRE 트로이 목마에 대해 논의하고 구성 파일을 동적으로 추출하는 도구를 출시합니다.

그림자 속 진실 찾기

그림자 속 진실 찾기

하드웨어 스택 보호가 의도한 익스플로잇 완화 기능 외에 제공하는 세 가지 이점을 살펴보고 몇 가지 제한 사항을 설명하겠습니다.

취약점 요약: 폴리나, CVE-2022-30190

취약점 요약: 폴리나, CVE-2022-30190

Elastic은 Follina 취약점의 사용을 식별하기 위해 새로운 맬웨어 시그니처를 배포하고 있습니다. 이 게시물에서 자세히 알아보세요.

Get-InjectedThreadEx - 스레드 생성 트램폴린 감지

Get-InjectedThreadEx - 스레드 생성 트램폴린 감지

이 블로그에서는 네 가지 프로세스 트램폴린 클래스 각각을 탐지하고 업데이트된 PowerShell 탐지 스크립트인 Get-InjectedThreadEx를 릴리스하는 방법을 보여드리겠습니다.

EMOTET 동적 구성 추출

EMOTET 동적 구성 추출

Elastic Security Labs에서 EMOTET 트로이 목마에 대해 논의하고 코드 에뮬레이터를 사용하여 구성 파일을 동적으로 추출하는 도구를 출시합니다.

Log4Shell 취약점 분석 & CVE-2021-45046

Log4Shell 취약점 분석 & CVE-2021-45046

이 게시물에서는 사용자가 CVE-2021-44228 또는 Log4Shell로부터 자신을 지속적으로 보호하기 위해 Elastic 보안 팀이 취하고 있는 다음 단계에 대해 설명합니다.

TTD 에코시스템에 대해 자세히 알아보기

TTD 에코시스템에 대해 자세히 알아보기

이 글은 최근 독립적인 연구 기간 동안 자세히 살펴본 Microsoft에서 개발한 시간 여행 디버깅(TTD) 기술에 초점을 맞춘 시리즈 중 첫 번째 글입니다.

KNOTWEED 평가 요약

KNOTWEED 평가 요약

KNOTWEED는 Adobe Reader 및 Windows 운영 체제에 대한 0일 익스플로잇을 사용하여 Subzero 스파이웨어를 배포합니다. 초기 액세스 권한이 확보되면 Subzero의 여러 섹션을 사용하여 지속성을 유지하고 호스트에서 작업을 수행합니다.

Elastic Security를 사용한 CVE-2021-44228(log4j2) 취약점 공격 탐지

Elastic Security를 사용한 CVE-2021-44228(log4j2) 취약점 공격 탐지

이 블로그 게시물은 CVE-2021-44228의 요약을 제공하며 Elastic Security 사용자가 사용자 환경에서 액티브 취약점 공격을 찾을 수 있는 탐지를 제공합니다. 더 자세한 내용을 알게 되면 이 게시물에 대한 추가 업데이트를 제공해 드리겠습니다.

SIGRed 취약점에 대한 탐지 규칙

SIGRed 취약점에 대한 탐지 규칙

SIGRed 취약점은 Windows DNS 서버 서비스(Windows 2003 이상)를 활용하는 모든 시스템에 영향을 미칩니다. 사용자 환경을 방어하려면 Elastic Security와 같은 기술을 사용하여 이 블로그 게시물에 포함된 탐지 로직을 구현하는 것이 좋습니다.

Spring4Shell 취약성(CVE-2022-22965)에 대한 Elastic의 대응

Spring4Shell 취약성(CVE-2022-22965)에 대한 Elastic의 대응

최근에 공개된 원격 코드 실행(RCE) 취약점인 "Spring4Shell"로도 알려진 CVE-2022-22965에 대한 임원급 세부 정보를 제공하세요.

Elastic으로 더티 파이프 감지 및 대응하기

Elastic으로 더티 파이프 감지 및 대응하기

Elastic Security는 더티 파이프 익스플로잇에 대한 탐지 로직을 공개합니다.

Elastic에서 트랜스포머 최대한 활용하기

Elastic에서 트랜스포머 최대한 활용하기

이 블로그에서는 마스크드 언어 모델링(MLM) 작업용 트랜스포머 모델을 분류 작업에 적합하도록 미세 조정한 방법에 대해 간략하게 설명합니다.

인메모리 .NET 공격에 대한 헌팅

인메모리 .NET 공격에 대한 헌팅

더비콘 발표의 후속으로, 이 게시물에서는 탐지를 회피하기 위해 .NET 기반 인메모리 기술을 사용하는 공격자들의 새로운 동향에 대해 살펴봅니다.

메모리에서 사냥하기

메모리에서 사냥하기

위협 헌터는 공격의 모든 단계에서 적의 활동을 정확히 찾아내기 위해 방대한 양의 다양한 데이터 소스를 선별하는 어려운 작업을 담당합니다.

Mozi 봇넷에서 위협 데이터 수집 및 운영하기

Mozi 봇넷에서 위협 데이터 수집 및 운영하기

모지 봇넷은 보안이 취약한 네트워킹 디바이스를 대상으로 하는 지속적인 멀웨어 캠페인입니다. 이 게시물에서는 Mozi 봇넷의 위협 데이터를 수집, 분석, 운영하는 분석가의 여정을 소개합니다.

활발하게 악용되고 있는 ProxyShell 취약점 탐지 및 대응

활발하게 악용되고 있는 ProxyShell 취약점 탐지 및 대응

지난 주에 Elastic Security는 ProxyShell과 관련된 Microsoft Exchange 취약점이 악용되는 것을 관찰했습니다. 게시물을 검토하여 이 활동에 대한 새로 공개된 세부 정보를 확인하세요.

님버스폰: 권한 에스컬레이션을 통해 취약점을 악용하여 Linux를 익스플로잇하는 방법

님버스폰: 권한 에스컬레이션을 통해 취약점을 악용하여 Linux를 익스플로잇하는 방법

Microsoft 365 Defender 팀에서 확인된 몇 가지 취약점을 자세히 설명하는 게시물을 발표했습니다. 이러한 취약점을 통해 공격 그룹은 Linux 시스템에 대한 권한을 상승시켜 페이로드, 랜섬웨어 또는 기타 공격을 배포할 수 있습니다.

Dorothy와 Elastic Security로 Okta 통합 가시성 및 탐지 테스트

Dorothy와 Elastic Security로 Okta 통합 가시성 및 탐지 테스트

Dorothy는 보안 팀이 Okta 환경의 통합 가시성과 탐지 기능을 테스트할 수 있는 도구입니다. IAM 솔루션은 빈번하게 공격 대상이 되지만 모니터링은 제대로 되고 있지 않습니다. 이 게시물에서는 Dorothy를 시작하는 방법을 알아봅니다.

공격적인 툴 수용: EQL을 사용하여 코아딕에 대한 탐지 구축하기

공격적인 툴 수용: EQL을 사용하여 코아딕에 대한 탐지 구축하기

이벤트 쿼리 언어(EQL)를 사용하여 코아딕과 같은 익스플로잇 후 프레임워크에 대한 행동 탐지를 구축하는 새로운 방법을 찾아보세요.

실용적인 보안 엔지니어링: 상태 저장 탐지

실용적인 보안 엔지니어링: 상태 저장 탐지

규칙과 엔지니어링 프로세스에서 상태 저장 탐지를 공식화하면 미래와 과거의 일치에 대한 탐지 범위를 늘릴 수 있습니다. 이 블로그 게시물에서 상태 저장 탐지가 구현해야 하는 중요한 개념인 이유를 알아보세요.