Pesquisa primária sobre ameaças do Elastic Security Labs
1º de outubro de 2024
Elastic publica Relatório Global de Ameaças 2024
O Elastic Security Labs lançou o Elastic Global Threat Report 2024 , apresentando as ameaças, tendências e recomendações mais urgentes para ajudar a manter as organizações seguras no próximo ano.
Em destaque
Pesquisa sobre segurança
Ver tudoCups Overflow: quando sua impressora derrama mais do que tinta
O Elastic Security Labs discute estratégias de detecção e mitigação de vulnerabilidades no sistema de impressão CUPS, que permitem que invasores não autenticados explorem o sistema via IPP e mDNS, resultando em execução remota de código (RCE) em sistemas baseados em UNIX, como Linux, macOS, BSDs, ChromeOS e Solaris.
Tempestade no Horizonte: Por dentro do ecossistema IoT da AJCloud
As câmeras wi-fi são populares devido à sua acessibilidade e conveniência, mas geralmente apresentam vulnerabilidades de segurança que podem ser exploradas.
Código de conduta: intrusões da RPDC alimentadas por Python em redes seguras
Investigando o uso estratégico do Python e da engenharia social cuidadosamente elaborada pela RPDC, esta publicação esclarece como eles violam redes altamente seguras com ataques cibernéticos eficazes e em evolução.
Desmantelamento do Smart App Control
Este artigo explorará o Windows Smart App Control e o SmartScreen como um estudo de caso para pesquisar desvios para sistemas baseados em reputação e, em seguida, demonstrará detecções para cobrir essas fraquezas.
Análise de malware
Ver tudoKatz and Mouse Game: MaaS Infostealers Adapt to Patched Chrome Defenses
Elastic Security Labs breaks down bypass implementations from the infostealer ecosystem’s reaction to Chrome 127's Application-Bound Encryption scheme.
Tricks and Treats: GHOSTPULSE’s new pixel-level deception
The updated GHOSTPULSE malware has evolved to embed malicious data directly within pixel structures, making it harder to detect and requiring new analysis and detection techniques.
Apostando em bots: investigando malwares, mineração de criptomoedas e abuso de APIs de jogos de azar para Linux
A campanha REF6138 envolveu criptomineração, ataques de DDoS e possível lavagem de dinheiro por meio de APIs de jogos de azar, destacando o uso de malware em evolução e canais de comunicação furtivos pelos atacantes.
Código de conduta: intrusões da RPDC alimentadas por Python em redes seguras
Investigando o uso estratégico do Python e da engenharia social cuidadosamente elaborada pela RPDC, esta publicação esclarece como eles violam redes altamente seguras com ataques cibernéticos eficazes e em evolução.
Campanhas
Ver tudoPIKABOT, eu escolho você!
O Elastic Security Labs observou novas campanhas do PIKABOT, incluindo uma versão atualizada. O PIKABOT é um carregador amplamente implantado que os agentes mal-intencionados utilizam para distribuir cargas úteis adicionais.
Pesquisa inicial expondo JOKERSPY
Explore o JOKERSPY, uma campanha recentemente descoberta que visa instituições financeiras com backdoors em Python. Este artigo aborda reconhecimento, padrões de ataque e métodos de identificação do JOKERSPY em sua rede.
Elastic encanta o SPECTRALVIPER
O Elastic Security Labs descobriu as famílias de malware P8LOADER, POWERSEAL e SPECTRALVIPER que visam o agronegócio nacional vietnamita. REF2754 compartilha malware e elementos motivacionais dos grupos de atividades REF4322 e APT32.
Malware PHOREAL tem como alvo o setor financeiro do sudeste asiático
O Elastic Security descobriu o malware PHOREAL, que tem como alvo organizações financeiras do Sudeste Asiático, particularmente aquelas do setor financeiro vietnamita.
Grupos e táticas
Ver tudoApostando em bots: investigando malwares, mineração de criptomoedas e abuso de APIs de jogos de azar para Linux
A campanha REF6138 envolveu criptomineração, ataques de DDoS e possível lavagem de dinheiro por meio de APIs de jogos de azar, destacando o uso de malware em evolução e canais de comunicação furtivos pelos atacantes.
Código de conduta: intrusões da RPDC alimentadas por Python em redes seguras
Investigando o uso estratégico do Python e da engenharia social cuidadosamente elaborada pela RPDC, esta publicação esclarece como eles violam redes altamente seguras com ataques cibernéticos eficazes e em evolução.
GrimResource - Console de gerenciamento da Microsoft para acesso inicial e evasão
Pesquisadores da Elastic descobriram uma nova técnica, a GrimResource, que permite a execução completa do código por meio de arquivos MSC especialmente criados. Isso ressalta uma tendência de atacantes com bons recursos que favorecem métodos inovadores de acesso inicial para burlar as defesas.
Mineradores invisíveis: revelando as operações de mineração de criptomoedas da GHOSTENGINE
O Elastic Security Labs identificou o REF4578, um conjunto de intrusões que incorpora vários módulos maliciosos e utiliza drivers vulneráveis para desativar soluções de segurança conhecidas (EDRs) para mineração de criptomoedas.
Perspectivas
Tempestade no Horizonte: Por dentro do ecossistema IoT da AJCloud
As câmeras wi-fi são populares devido à sua acessibilidade e conveniência, mas geralmente apresentam vulnerabilidades de segurança que podem ser exploradas.
Kernel ETW é o melhor ETW
Esta pesquisa se concentra na importância dos logs de auditoria nativos em software seguro por design, enfatizando a necessidade de log ETW no nível do kernel em ganchos de modo de usuário para aprimorar as proteções antiviolação.
Esqueça os drivers vulneráveis - Admin é tudo o que você precisa
Bring Your Own Vulnerable Driver (BYOVD) é uma técnica de invasão cada vez mais popular, em que um agente de ameaça traz um driver assinado conhecido e vulnerável junto com seu malware, carrega-o no kernel e o explora para executar alguma ação dentro do kernel que, de outra forma, não seria capaz de fazer. Empregado por agentes de ameaças avançadas há mais de uma década, o BYOVD está se tornando cada vez mais comum em ransomware e malware de commodities.
IA generativa
Ver tudoA Elastic aprimora a segurança do LLM com campos e integrações padronizados
Descubra os últimos avanços da Elastic em segurança LLM, com foco em integrações de campo padronizadas e recursos aprimorados de detecção. Saiba como a adoção desses padrões pode proteger seus sistemas.
Incorporação de segurança em fluxos de trabalho LLM: Abordagem proativa da Elastic
Mergulhe na exploração da segurança incorporada pela Elastic diretamente em modelos de linguagem grande (LLMs). Descubra nossas estratégias para detectar e mitigar várias das principais vulnerabilidades do OWASP em aplicativos LLM, garantindo aplicativos orientados por IA mais seguros e protegidos.
Acelerando o comércio de detecção elástica com LLMs
Saiba mais sobre como o Elastic Security Labs tem se concentrado em acelerar nossos fluxos de trabalho de engenharia de detecção, explorando recursos de IA mais generativos.
Usando LLMs e ESRE para encontrar sessões de usuários semelhantes
Em nosso artigo anterior, exploramos o uso do GPT-4 Large Language Model (LLM) para condensar as sessões de usuários do Linux. No contexto do mesmo experimento, dedicamos algum tempo para examinar sessões que compartilhavam semelhanças. Posteriormente, essas sessões semelhantes podem ajudar os analistas a identificar atividades suspeitas relacionadas.
Ferramentas
Ver tudoSituações STIXy: ECSaping seus dados de ameaças
Os dados estruturados de ameaças geralmente são formatados usando STIX. Para ajudar a colocar esses dados no Elasticsearch, estamos lançando um script Python que converte o STIX em um formato ECS para ser ingerido na sua pilha.
Into The Weeds: Como corremos Detonate
Explore a implementação técnica do sistema Detonate, incluindo a criação de sandbox, a tecnologia de suporte, a coleta de telemetria e como explodir coisas.
Clique, clique… Boom! Automatizando testes de proteção com Detonate
Para automatizar esse processo e testar nossas proteções em grande escala, criamos o Detonate, um sistema usado por engenheiros de pesquisa de segurança para medir a eficácia de nossa solução Elastic Security de forma automatizada.
Desempacotando o ICEDID
O ICEDID é conhecido por compactar suas cargas úteis usando formatos de arquivos e um esquema de criptografia customizados. Estamos lançando um conjunto de ferramentas para automatizar o processo de descompactação e ajudar os analistas e a comunidade a responder à ICEDID.