来自 Elastic Security Labs 威胁指挥部的主要威胁研究
DPRK-aligned hackers hid malware inside SVG flag images to backdoor developer job interview coding tests. Not one antivirus vendor caught it.
探测工程
查看全部
Elastic InfoSec 的智能安全运营中心 (SOC) 内部运作:将警报分类时间从 30 分钟缩短到 3 分钟以内
Elastic 的信息安全团队在 Elastic Workflows 上构建了 AI 代理,这些代理会在分析师打开警报之前调查每个警报并整理案例。

Azure AD Graph 活动日志:数据采集和威胁检测,以弥合可见性差距
Azure AD Graph 活动日志会完整解析并上传到 Elasticsearch。使用现成的检测规则检测 ROADrecon 和 AADInternals 枚举。

在 Entra ID 和 Google Workspace 中检测 Tycoon 2FA AiTM 攻击
Tycoon 2FA 可绕过 Entra ID 和 Google Workspace 上的 MFA。我们在两个平台上映射遥测指纹,为两个层级制定检测规则,并利用弹性工作流在 10 秒内遏制事件。

Copy Fail 和 DirtyFrag:野生的 Linux 页面缓存错误
本研究分析了 Linux 内核权限升级漏洞 Copy Fail 和 DirtyFrag,这两个漏洞利用了微妙的页面缓存损坏漏洞,为 root 访问创建了可靠路径。此外,Elastic Security Labs 正在发布针对这些漏洞的检测逻辑。
恶意软件分析
查看全部
New North Korean campaign uses fake coding interviews to steal developer credentials
DPRK-aligned hackers hid malware inside SVG flag images to backdoor developer job interview coding tests. Not one antivirus vendor caught it.

TELEPUZ:一种通过 CLICKFIX-VIDAR 链传播的模块化 MaaS 恶意软件
TELEPUZ 是一种模块化恶意软件,于 4 月份通过 CLICKFIX-VIDAR 攻击出现。我们对其进行了逆向工程,向您展示重要的基础设施和规避技术。

从点击修复到提现:墨西哥银行欺诈工具包剖析
Elastic Security Labs 正在追踪 REF6045,这是一个活跃的、由运营商协助的银行欺诈行动,目标是墨西哥银行、金融科技公司、支付处理商和加密货币交易所的客户。

搬迁途中迷失:对新型装载机分销 CASTLESTEALER 的分析
了解一种新型混淆加载器如何使用 .reloc 来规避静态检测。利用部分滥用、五项反虚拟机/语言检查和 MBA 混淆技术,通过 Google Ads 传播信息窃取恶意软件。
内部
查看全部
迷上 LinuxRootkit 检测工程
在本系列文章的第二部分,我们将探讨 Linux rootkit 检测工程,重点是静态检测的局限性和 rootkit 行为检测的重要性。

差异补丁至 SYSTEM
本研究利用 LLM 和补丁差异,详细介绍了 Windows DWM 中的 "免费使用后 "漏洞,演示了一种可靠的漏洞利用方法,可将低权限用户的权限升级到 SYSTEM。

永恒不变的幻象用云文件攻克内核
威胁行为者可以滥用一类漏洞,绕过安全限制,打破信任链。

FlipSwitch:一种新颖的系统调用挂钩技术
FlipSwitch 提供了绕过 Linux 内核防御的全新视角,揭示了网络攻击者和防御者之间持续斗争中的一种新技术。
威胁情报
查看全部
New North Korean campaign uses fake coding interviews to steal developer credentials
DPRK-aligned hackers hid malware inside SVG flag images to backdoor developer job interview coding tests. Not one antivirus vendor caught it.

从点击修复到提现:墨西哥银行欺诈工具包剖析
Elastic Security Labs 正在追踪 REF6045,这是一个活跃的、由运营商协助的银行欺诈行动,目标是墨西哥银行、金融科技公司、支付处理商和加密货币交易所的客户。

在 Entra ID 和 Google Workspace 中检测 Tycoon 2FA AiTM 攻击
Tycoon 2FA 可绕过 Entra ID 和 Google Workspace 上的 MFA。我们在两个平台上映射遥测指纹,为两个层级制定检测规则,并利用弹性工作流在 10 秒内遏制事件。

PHANTOMPULSE:可被劫持的区块链-C2 RAT 解析
Elastic Security Labs 对 PHANTOMPULSE 进行了详细的反向工程分析,这是一种通过 REF6598 入侵套件针对加密行业受害者投放的长期活跃远程访问木马(RAT)。
Machine Learning
查看全部
使用新的 Kibana 集成检测域生成算法 (DGA) 活动
我们已将 DGA 检测包添加到 Kibana 中的 Integrations 应用中。 只需单击一下,您就可以安装并开始使用 DGA 模型和相关资产,包括摄取管道配置、异常检测作业和检测规则。

自动安全保护快速响应恶意软件
看看我们是如何在机器学习模型的帮助下改进流程,使我们能够根据新信息快速做出更新,并将这些保护措施传播给我们的用户。

利用新的弹性集成检测 "离地生活 "攻击
我们在 Kibana 的 "集成 "应用程序中添加了 "离地生活"(LotL)检测包。只需单击一下,您就可以安装并开始使用 ProblemChild 模型和相关资产,包括异常检测配置和检测规则。
使用 Elastic 识别信标式恶意软件
在本博客中,我们将指导用户使用我们的信标识别框架识别其环境中的信标恶意软件。
生成式 AI
查看全部
Elastic InfoSec 的智能安全运营中心 (SOC) 内部运作:将警报分类时间从 30 分钟缩短到 3 分钟以内
Elastic 的信息安全团队在 Elastic Workflows 上构建了 AI 代理,这些代理会在分析师打开警报之前调查每个警报并整理案例。

从漏洞报告到 CVE 草案,只需几分钟:Elastic 如何利用人工智能实现安全公告自动化
Elastic 的安全团队如何利用 RAG 针对 MITRE 的 CWE 和 CAPEC 目录构建 AI 代理,从原始漏洞报告(包括完整的提示和爬虫配置)中起草 CVE 建议。

弹性安全 MCP 应用程序:人工智能工具内的交互式安全操作
Elastic Security 是首家在人工智能工具中推出交互式用户界面的安全厂商。从人工智能对话中分流警报、追捕威胁、关联攻击链并打开案件。

在 Elastic 中使用 OTel 大规模监控克劳德代码/工作
Elastic 的信息安全团队如何利用其本地 OTel 导出功能和 Elastic 的 OTel 摄取基础架构为 Claude Code 和 Claude Cowork 构建监控管道。
工具
查看全部
CI/CD 管道滥用:无人关注的问题
我们如何构建了一个开源的即插即用 CI 模板,该模板使用信号提取和 LLM 推理来捕捉 GitHub Actions、GitLab CI 和 Azure DevOps 管道中的 CI/CD 滥用行为。

WinVisor – 基于管理程序的模拟器,适用于 Windows x64 用户模式可执行文件
WinVisor 是一款基于管理程序的模拟器,适用于 Windows x64 用户模式可执行文件,它利用 Windows Hypervisor Platform API 提供虚拟化环境,用于记录系统调用并实现内存自省。

STIXy 情况:ECSaping 您的威胁数据
结构化威胁数据通常使用 STIX 进行格式化。为了帮助将这些数据导入 Elasticsearch,我们发布了一个 Python 脚本,可将 STIX 转换为 ECS 格式,以便导入到您的堆栈中。

使用命名管道彻夜跳舞 - PIPEDANCE 客户端发布
在本出版物中,我们将介绍该客户端应用程序的功能以及如何开始使用该工具。




