Elastic 安全实验室的主要威胁研究
2024 年 10 月 1 日
Elastic 发布 2024 年全球威胁报告
Elastic 安全实验室发布了《2024 年 Elastic 全球威胁报告》,揭示了最紧迫的威胁、趋势和建议,以帮助组织在未来一年内保持安全。
精选
安全研究
查看全部
探索 AWS STS AssumeRoot
探索 AWS STS AssumeRoot,其风险、检测策略和实际场景,以使用 Elastic 的 SIEM 和 CloudTrail 数据来防止权限提升和账户泄露。
简化安全:将 Amazon Bedrock 与 Elastic 集成
本文将指导您完成 Amazon Bedrock 集成的设置过程,并启用 Elastic 的预构建检测规则以简化您的安全操作。
CUPS 溢出:当您的打印机溢出的不仅仅是墨水时
Elastic Security Labs 讨论了 CUPS 打印系统漏洞的检测和缓解策略,这些漏洞允许未经身份验证的攻击者通过 IPP 和 mDNS 利用该系统,从而在基于 UNIX 的系统(如 Linux、macOS、BSDs、ChromeOS 和 Solaris)上实现远程代码执行 (RCE)。
地平线上的风暴:AJCloud IoT 生态系统内部
Wi-Fi 摄像头因其价格实惠和方便而受欢迎,但通常存在可被利用的安全漏洞。
恶意软件分析
查看全部
使用 GOSAR 在 SADBRIDGE 下:QUASAR 获得 Golang 重写
Elastic Security Labs 分享了有关 SADBRIDGE 加载器和 GOSAR 后门(针对以中文为母语的受害者发起的攻击活动中使用的恶意软件)的详细信息。
去除 PUMAKIT 的爪子
PUMAKIT 是一款复杂的加载内核模块 (LKM) rootkit,它采用高级隐身机制来隐藏其存在并维持与命令和控制服务器的通信。
猫鼠游戏:MaaS 信息窃取者适应了 Chrome 的已修复防御
Elastic Security Labs 分析了信息窃取者生态系统对 Chrome 127 的应用程序绑定加密方案的反应中的绕过实现。
技巧和花招:GHOSTPULSE 的新像素级欺骗
更新后的 GHOSTPULSE 恶意软件已发展为将恶意数据直接嵌入像素结构中,使其更难检测,并需要新的分析和检测技术。
攻击活动
查看全部
PIKABOT,我选择你!
Elastic Security Labs 观察到新的 PIKABOT 攻击活动,包括更新版本。PIKABOT 是一种广泛部署的加载程序,恶意攻击者利用它来分发其他有效载荷。
揭露 JOKERSPY 的初步研究
探索 JOKERSPY,这是一个最近发现的以 Python 后门为目标攻击金融机构的活动。本文介绍了侦察、攻击模式以及在您的网络中识别 JOKERSPY 的方法。
Elastic 吸引了 SPECTRALVIPER
Elastic Security Labs 发现了 P8LOADER、POWERSEAL 和 SPECTRALVIPER 恶意软件系列,它们以越南一家国有农业企业为目标。REF2754 分享了 REF4322 和 APT32 活动组的恶意软件和动机元素。
PHOREAL 恶意软件以东南亚金融业为目标
Elastic Security 发现了 PHOREAL 恶意软件,该恶意软件的目标是东南亚金融组织,尤其是越南金融领域的组织。
组织和策略
查看全部
押注机器人:调查 Linux 恶意软件、加密货币挖矿和赌博 API 滥用
REF6138 活动涉及加密货币挖矿、DDoS 攻击以及可能通过赌博 API 进行的洗钱活动,突显了攻击者使用不断演变的恶意软件和隐秘的通信渠道。
行为准则:朝鲜利用 Python 侵入安全网络
本出版物调查了朝鲜战略性地使用 Python 和精心设计的社会工程,揭示了他们如何通过不断发展且有效的网络攻击来突破高度安全的网络。
GrimResource - 用于初始访问和规避的 Microsoft 管理控制台
Elastic 研究人员发现了一种名为 GrimResource 的新技术,该技术允许通过特制 MSC 文件执行完整代码。它突显了资源充足的攻击者倾向于采用创新初始访问方法来规避防御的趋势。
隐形矿工:揭示 GHOSTENGINE 的加密货币挖矿活动
Elastic Security Labs 已经识别出 REF4578,这是一个包含多个恶意模块并利用易受攻击的驱动程序来禁用已知安全解决方案 (EDR) 以进行加密货币挖矿的入侵集合。
观点
风暴将至:深入了解 AJCloud 物联网生态系统
Wi-Fi 摄像头因其价格实惠和便利性而广受欢迎,但通常存在可能被利用的安全漏洞。
内核 ETW 是最好的 ETW
本研究侧重于在安全设计软件中本地审计日志的重要性,强调需要使用内核级 ETW 日志记录而不是用户模式挂钩来增强防篡改保护。
忘记易受攻击的驱动程序 - 管理员权限才是您所需要的
自带易受攻击的驱动程序 (BYOVD) 是一种越来越流行的攻击者技术,即威胁行动者将已知的易受攻击的签名驱动程序与其恶意软件一起携带,将其加载到内核中,然后利用它在内核中执行一些他们本来无法执行的操作。BYOVD 已被高级威胁行动者使用超过十年,在勒索软件和商品恶意软件中变得越来越普遍。
生成式人工智能
查看全部
Elastic 通过标准化字段和集成推进 LLM 安全性
了解 Elastic 在 LLM 安全方面的最新进展,重点关注标准化字段集成和增强的检测能力。了解采用这些标准如何保护您的系统。
在 LLM 工作流程中嵌入安全性:Elastic 的积极方法
深入了解 Elastic 对直接在大型语言模型 (LLM) 中嵌入安全性的探索。了解我们用于检测和缓解 LLM 应用程序中一些 OWASP 主要漏洞的策略,确保更安全的人工智能驱动应用程序。
利用 LLM 加快 Elastic 检测技术
详细了解 Elastic Security Labs 如何通过利用更多生成式 AI 功能来专注于加速我们的检测工程工作流程。
使用 LLM 和 ESRE 查找相似的用户会话
在我们之前的文章中,我们探讨了使用 GPT-4 大型语言模型 (LLM) 来压缩 Linux 用户会话。在同一实验的背景下,我们花了一些时间来检查具有相似之处的会话。这些相似的会话随后可以帮助分析师识别相关的可疑活动。
工具
查看全部
STIXy 困境:将威胁数据转换为 ECS
结构化威胁数据通常使用 STIX 格式。为了帮助将此数据导入 Elasticsearch,我们发布了一个 Python 脚本,该脚本将 STIX 转换为 ECS 格式,以便摄取到您的堆栈中。
深入了解:我们如何运行 Detonate
探索 Detonate 系统的技术实现,包括沙箱创建、支持技术、遥测收集以及如何炸毁东西。
点击,点击... 砰!使用 Detonate 自动化保护测试
为了自动化此过程并大规模测试我们的保护措施,我们构建了 Detonate 系统。安全研究工程师使用该系统来自动化衡量我们的 Elastic Security 解决方案的有效性。
解包 ICEDID
众所周知,ICEDID 使用自定义文件格式和自定义加密方案来打包其有效载荷。我们正在发布一套工具来自动化解包过程,并帮助分析师和社区响应 ICEDID。