作者
Joe Desimone
文章
拆解智能应用控制
本文将以 Windows 智能应用控制和 SmartScreen 为案例,研究绕过基于信誉的系统的方法,然后演示检测这些弱点的方法。
GrimResource - 用于初始访问和逃避的 Microsoft 管理控制台
Elastic 研究人员发现了一种名为 GrimResource 的新技术,该技术允许通过特制的 MSC 文件完全执行代码。它突显了一个趋势,即资源充足的攻击者倾向于采用创新的初始访问方法来逃避防御。
GHOSTPULSE 利用防御逃避手段来困扰受害者
Elastic Security Labs 揭示了一项新活动的详细信息,该活动利用防御逃避功能来感染受害者恶意 MSIX 可执行文件。
提高赌注:使用内核调用堆栈检测内存威胁
我们的目标是超越对手的创新,并保持对最前沿攻击手段的防护。借助 Elastic Security 8.8,我们添加了新的基于内核调用堆栈的检测,这使我们能够更有效地防御内存威胁。
Elastic 用户免受 SUDDENICON 供应链攻击的侵害
Elastic Security Labs 正在发布一份分类分析,以协助 3CX 客户初步检测 SUDDENICON,这是一种可能影响 3CX VOIP 软电话用户的供应链泄露。
PHOREAL 恶意软件以东南亚金融业为目标
Elastic Security 发现了 PHOREAL 恶意软件,该软件的目标是东南亚的金融机构,尤其是越南金融部门的机构。
阻止易受攻击的驱动程序攻击
这篇文章包括关于内核模式攻击的入门知识,以及 Elastic 关于保护用户免受利用易受攻击的驱动程序的内核攻击的建议。
流血熊行动
Elastic Security 验证了针对乌克兰的新破坏性恶意软件:“流血熊行动”
Elastic Security 揭露 BLISTER 恶意软件活动
Elastic Security 已经确定了利用新识别的 BLISTER 恶意软件加载器的活跃入侵,该加载器利用有效的代码签名证书来逃避检测。我们正在为安全团队提供检测指南以保护他们自己。
搜索内存中的 .NET 攻击
作为我 DerbyCon 演示文稿的后续,这篇文章将调查一种新兴趋势,即攻击者使用基于 .NET 的内存技术来逃避检测
搜索内存
威胁搜寻者的职责是完成一项艰巨的任务,即筛选大量不同的数据源,以查明攻击任何阶段的对抗活动。