Recherche principale sur les menaces d'Elastic Security Labs
1er octobre 2024
Elastic publie le rapport 2024 sur les menaces mondiales
Elastic Security Labs a publié le rapport 2024 d'Elastic sur les menaces mondiales, qui présente les menaces les plus pressantes, les tendances et les recommandations visant à assurer la sécurité des entreprises pour l'année à venir.
En vedette
Recherche sur la sécurité
Voir tout
Abus d'AWS SNS : Exfiltration de données et hameçonnage
Au cours d'une récente collaboration interne, nous nous sommes penchés sur les tentatives d'abus des SRS connues du public et sur notre connaissance de la source de données afin de développer des capacités de détection.
Détection des keyloggers basés sur des raccourcis clavier à l'aide d'une structure de données du noyau non documentée
Dans cet article, nous examinons ce que sont les keyloggers basés sur des raccourcis clavier et comment les identifier. Plus précisément, nous expliquons comment ces keyloggers interceptent les frappes, puis nous présentons une technique de détection qui exploite une table de raccourcis clavier non documentée dans l'espace du noyau.
Ingénierie de détection Linux - La grande finale sur la persistance Linux
À la fin de cette série, vous aurez une connaissance approfondie des techniques de persistance de Linux, qu'elles soient courantes ou rares, et vous saurez comment concevoir des détections efficaces pour les capacités courantes et avancées des utilisateurs malveillants.
Emulation du rançongiciel AWS S3 SSE-C pour la détection des menaces
Dans cet article, nous allons explorer comment les utilisateurs malveillants exploitent le chiffrement côté serveur d'Amazon S3 avec des clés fournies par le client (SSE-C) pour des opérations de demande de rançon ou d'extorsion.
Analyse des malwares
Voir tout
Logiciels malveillants hors-la-loi pour Linux : Persistants, peu sophistiqués et étonnamment efficaces
Outlaw est un logiciel malveillant Linux persistant qui utilise des tactiques simples de force brute et de minage pour maintenir un réseau de zombies de longue durée.
La stratégie Shelby
Une analyse de l'utilisation abusive de GitHub par REF8685 pour le C2 afin d'échapper aux défenses.
Faire la lumière sur le conducteur ABYSSWORKER
Elastic Security Labs décrit ABYSSWORKER, un pilote malveillant utilisé avec la chaîne d'attaque du ransomware MEDUSA pour désactiver les outils anti-malware.
Vous avez un logiciel malveillant : FINALDRAFT se cache dans vos brouillons
Au cours d'une enquête récente (REF7707), Elastic Security Labs a découvert un nouveau logiciel malveillant ciblant un ministère des affaires étrangères. Le logiciel malveillant comprend un chargeur personnalisé et une porte dérobée dotée de nombreuses fonctionnalités, notamment l'utilisation de l'API Graph de Microsoft pour les communications C2.
Campagnes
Voir tout
De l'Amérique du Sud à l'Asie du Sud-Est : Le réseau fragile de REF7707
REF7707 a ciblé un ministère des affaires étrangères sud-américain en utilisant de nouvelles familles de logiciels malveillants. Des tactiques d'évasion incohérentes et des erreurs de sécurité opérationnelle ont exposé d'autres infrastructures appartenant à l'adversaire.
PIKABOT, je vous choisis !
Elastic Security Labs a observé de nouvelles campagnes PIKABOT, y compris une version mise à jour. PIKABOT est un loader largement déployé que les acteurs malveillants utilisent pour distribuer des charges utiles supplémentaires.
Recherche initiale exposant JOKERSPY
Découvrez JOKERSPY, une campagne récemment découverte qui cible les institutions financières avec des portes dérobées en Python. Cet article traite de la reconnaissance, des modèles d'attaque et des méthodes permettant d'identifier JOKERSPY sur votre réseau.
Breloques élastiques SPECTRALVIPER
Elastic Security Labs a découvert les familles de logiciels malveillants P8LOADER, POWERSEAL et SPECTRALVIPER ciblant une entreprise agroalimentaire vietnamienne. REF2754 partage des logiciels malveillants et des éléments de motivation des groupes d’activité REF4322 et APT32.
Groupes et tactique
Voir tout
Parier sur les robots : enquête sur les malwares Linux, le minage de cryptomonnaies et les abus d'API de jeu
La campagne REF6138 impliquait du minage de cryptomonnaies, des attaques DDoS et un éventuel blanchiment d'argent via des API de jeu, mettant en lumière l'utilisation par les attaquants de logiciels malveillants évolutifs et de canaux de communication furtifs.
Code de conduite : les intrusions de la RPDC dans les réseaux sécurisés alimentées par Python
En étudiant l'utilisation stratégique de Python et l'ingénierie sociale soigneusement élaborée par la RPDC, cette publication met en lumière la manière dont les réseaux hautement sécurisés sont violés par des cyberattaques évolutives et efficaces.
GrimResource - Console de gestion Microsoft pour l'accès initial et l'évasion
Les chercheurs d'Elastic ont découvert une nouvelle technique, GrimResource, qui permet l'exécution complète de code via des fichiers MSC spécialement conçus. Elle souligne la tendance des attaquants disposant de ressources importantes à privilégier des méthodes d'accès initiales innovantes pour échapper aux défenses.
Mineurs invisibles : dévoilement des opérations de minage de crypto-monnaies de GHOSTENGINE
Elastic Security Labs a identifié REF4578, un ensemble d'intrusions incorporant plusieurs modules malveillants et exploitant des pilotes vulnérables pour désactiver des solutions de sécurité connues (EDR) pour le minage de crypto-monnaie.
Perspectives
WinVisor – Un émulateur basé sur un hyperviseur pour les exécutables en mode utilisateur Windows x64
WinVisor est un émulateur basé sur un hyperviseur pour les exécutables en mode utilisateur Windows x64 qui utilise l'API de la plateforme Hyper-V de Windows pour offrir un environnement virtualisé permettant de journaliser les appels système et d'activer l'introspection de la mémoire.
Tempête à venir : au cœur de l'écosystème IoT d'AJCloud
Les caméras Wi-Fi sont populaires en raison de leur prix abordable et de leur commodité, mais elles présentent souvent des vulnérabilités de sécurité qui peuvent être exploitées.
Kernel ETW est le meilleur ETW
Cette recherche met l'accent sur l'importance des logs d'audit natifs dans les logiciels sécurisés dès la conception, en insistant sur la nécessité d'un logging ETW au niveau du noyau plutôt que de hooks en mode utilisateur afin de renforcer la protection contre les manipulations.
Oubliez les pilotes vulnérables - Admin est tout ce dont vous avez besoin
« Bring Your Own Vulnerable Driver » (BYOVD) est une technique d'attaque de plus en plus populaire qui consiste à intégrer un pilote signé connu pour sa vulnérabilité à son logiciel malveillant, à le charger dans le noyau, puis à l'exploiter pour effectuer une action sur le noyau qu'il n'aurait pas pu effectuer autrement. Utilisé par des acteurs de menace avancés depuis plus d’une décennie, le BYOVD est de plus en plus courant dans les ransomwares et les malwares de base.
IA générative
Voir tout
Elastic améliore la sécurité du LLM avec des champs et des intégrations standardisés
Découvrez les dernières avancées d'Elastic en matière de sécurité LLM, en vous concentrant sur les intégrations de champs standardisés et les capacités de détection améliorées. Découvrez comment l'adoption de ces normes peut protéger vos systèmes.
Intégrer la sécurité aux workflow LLM : l'approche proactive d'Elastic
Découvrez comment Elastic a intégré la sécurité directement dans les Large Language Models (LLM). Découvrez nos stratégies de détection et d'atténuation de plusieurs des principales vulnérabilités OWASP dans les applications LLM, afin de garantir des applications pilotées par l'IA plus sûres et plus sécurisées.
Accélérer la détection élastique des échanges avec les LLM
Découvrez comment Elastic Security Labs s’est concentré sur l’accélération de ses workflows d’ingénierie de détection en exploitant des capacités d’IA plus génératives.
Utiliser les LLM et ESRE pour trouver des sessions utilisateur similaires
Dans notre article précédent, nous avons exploré l’utilisation du modèle de langage étendu (LLM) GPT-4 pour condenser les sessions utilisateur Linux. Dans le cadre de la même expérience, nous avons consacré du temps à l'examen des sessions présentant des similitudes. Ces sessions similaires peuvent ensuite aider les analystes à identifier des activités suspectes connexes.
Outils
Voir tout
Situations STIXy : échapper à vos données de menaces
Les données de menace structurées sont généralement formatées à l’aide de STIX. Pour vous aider à intégrer ces données à Elasticsearch, nous publions un script Python qui convertit STIX au format ECS à intégrer dans votre stack.
Les mains dans le cambouis : comment nous exécutons Detonate
Explorez la mise en œuvre technique du système Detonate, y compris la création d'un sandbox, la technologie associée, la collecte de données télémétriques et la manière de faire exploser des objets.
Cliquez, cliquez... Boom ! Automatisation des tests de protection avec Detonate
Pour automatiser ce processus et tester nos protections à grande échelle, nous avons créé Detonate, un système utilisé par les ingénieurs en recherche de sécurité pour mesurer l'efficacité de notre solution Elastic Security de manière automatisée.
Décompresser ICEDID
L'ICEDID est connu pour emballer ses charges utiles en utilisant des formats de fichiers et un système de cryptage personnalisés. Nous publions un ensemble d'outils pour automatiser le processus de déballage et aider les analystes et la communauté à répondre à l'ICEDID.