来自 Elastic Security Labs 的主要威胁研究
8十月2025
2025 《弹性全球威胁报告》揭示了不断变化的威胁形势
2025 《弹性全球威胁报告》从现实世界的遥测数据中提供了有关对手趋势和防御者策略的最新见解。
探测工程
查看全部
利用高阶检测规则对警报进行优先分流
通过多信号相关性和高阶检测模式提高 SOC 效率。
我们是如何捕捉到 Axios 供应链攻击的
乔-德西蒙(Joe Desimone)分享了他如何利用一个下午就完成的概念验证工具抓住 Axios 供应链攻击的故事。
Inside the Axios supply chain compromise - one RAT to rule them all
弹性安全实验室分析了对提供统一跨平台 RAT 的 axios npm 软件包的供应链破坏情况
Elastic 发布针对 Axios 供应链漏洞的检测程序
针对 Elastic 发现的 Axios 供应链漏洞的猎杀和检测规则。
恶意软件分析
查看全部
迷上 LinuxRootkit 检测工程
在本系列文章的第二部分,我们将探讨 Linux rootkit 检测工程,重点是静态检测的局限性和 rootkit 行为检测的重要性。
Inside the Axios supply chain compromise - one RAT to rule them all
弹性安全实验室分析了对提供统一跨平台 RAT 的 axios npm 软件包的供应链破坏情况
Fake Installers to Monero: A Multi-Tool Mining Operation
Elastic Security Labs dissects a long-running operation deploying RATs, cryptominers, and CPA fraud through fake installer lures, tracking its evolution across campaigns and Monero payouts.
Elastic Security Labs uncovers BRUSHWORM and BRUSHLOGGER
Elastic Security Labs observed two custom malware components targeting a South Asian financial institution: a modular backdoor with USB-based spreading and a DLL-side-loaded keylogger.
内部
查看全部迷上 LinuxRootkit 检测工程
在本系列文章的第二部分,我们将探讨 Linux rootkit 检测工程,重点是静态检测的局限性和 rootkit 行为检测的重要性。
差异补丁至 SYSTEM
本研究利用 LLM 和补丁差异,详细介绍了 Windows DWM 中的 "免费使用后 "漏洞,演示了一种可靠的漏洞利用方法,可将低权限用户的权限升级到 SYSTEM。
永恒不变的幻象用云文件攻克内核
威胁行为者可以滥用一类漏洞,绕过安全限制,打破信任链。
FlipSwitch:一种新颖的系统调用挂钩技术
FlipSwitch 提供了绕过 Linux 内核防御的全新视角,揭示了网络攻击者和防御者之间持续斗争中的一种新技术。
威胁情报
查看全部Inside the Axios supply chain compromise - one RAT to rule them all
弹性安全实验室分析了对提供统一跨平台 RAT 的 axios npm 软件包的供应链破坏情况
Elastic 发布针对 Axios 供应链漏洞的检测程序
针对 Elastic 发现的 Axios 供应链漏洞的猎杀和检测规则。
Fake Installers to Monero: A Multi-Tool Mining Operation
Elastic Security Labs dissects a long-running operation deploying RATs, cryptominers, and CPA fraud through fake installer lures, tracking its evolution across campaigns and Monero payouts.
Elastic Security Labs uncovers BRUSHWORM and BRUSHLOGGER
Elastic Security Labs observed two custom malware components targeting a South Asian financial institution: a modular backdoor with USB-based spreading and a DLL-side-loaded keylogger.
Machine Learning
查看全部
使用新的 Kibana 集成检测域生成算法 (DGA) 活动
我们已将 DGA 检测包添加到 Kibana 中的 Integrations 应用中。 只需单击一下,您就可以安装并开始使用 DGA 模型和相关资产,包括摄取管道配置、异常检测作业和检测规则。
自动安全保护快速响应恶意软件
看看我们是如何在机器学习模型的帮助下改进流程,使我们能够根据新信息快速做出更新,并将这些保护措施传播给我们的用户。
利用新的弹性集成检测 "离地生活 "攻击
我们在 Kibana 的 "集成 "应用程序中添加了 "离地生活"(LotL)检测包。只需单击一下,您就可以安装并开始使用 ProblemChild 模型和相关资产,包括异常检测配置和检测规则。
使用 Elastic 识别信标式恶意软件
在本博客中,我们将指导用户使用我们的信标识别框架识别其环境中的信标恶意软件。
生成式 AI
查看全部
从您的人工智能代理开始使用弹性安全功能
使用开源 Agent Skills,无需离开集成开发环境,即可从零开始创建一个完整的弹性安全环境。
MCP 工具:自主代理的攻击向量和防御建议
本研究探讨了模型上下文协议(MCP)工具如何扩大自主代理的攻击面,详细介绍了工具中毒、协调注入和毯拉重新定义等利用载体以及实用的防御策略。
代理框架摘要
代理系统要求安全团队在自主性与一致性之间取得平衡,确保人工智能代理能够独立行动,同时保持目标一致性和可控性。
Elastic 通过标准化字段和集成推进 LLM 安全性
了解 Elastic 在 LLM 安全方面的最新进展,重点关注标准化的现场集成和增强的检测功能。了解如何采用这些标准来保护您的系统。
工具
查看全部
WinVisor – 基于管理程序的模拟器,适用于 Windows x64 用户模式可执行文件
WinVisor 是一款基于管理程序的模拟器,适用于 Windows x64 用户模式可执行文件,它利用 Windows Hypervisor Platform API 提供虚拟化环境,用于记录系统调用并实现内存自省。
STIXy 情况:ECSaping 您的威胁数据
结构化威胁数据通常使用 STIX 进行格式化。为了帮助将这些数据导入 Elasticsearch,我们发布了一个 Python 脚本,可将 STIX 转换为 ECS 格式,以便导入到您的堆栈中。
使用命名管道彻夜跳舞 - PIPEDANCE 客户端发布
在本出版物中,我们将介绍该客户端应用程序的功能以及如何开始使用该工具。
咔嚓,咔嚓...砰!使用 Detonate 自动化保护测试
为了使这一过程自动化并大规模测试我们的保护措施,我们建立了 Detonate 系统,该系统供安全研究工程师使用,以自动化方式衡量我们的 Elastic 安全解决方案的功效。