类别
内部
30九月2025
FlipSwitch:一种新颖的系统调用挂钩技术
FlipSwitch 提供了绕过 Linux 内核防御的全新视角,揭示了网络攻击者和防御者之间持续斗争中的一种新技术。
调查神秘的畸形 Authenticode 签名
深入调查,追踪 Windows Authenticode 验证失败,从模糊的错误代码到未记录的内核例程。
调用堆栈:恶意软件不再逍遥法外
我们探讨了调用堆栈为恶意软件检测带来的巨大价值,以及为什么 Elastic 尽管存在架构限制,仍将其视为重要的 Windows 端点遥测。
行为不当模式:检测工具,而非技术
我们探索执行模式的概念以及以模式为中心的检测如何补充以行为为中心的检测。
使用未公开的内核数据结构检测基于热键的键盘记录器
在本文中,我们将探讨什么是基于热键的键盘记录器以及如何检测它们。具体来说,我们将解释这些键盘记录程序如何拦截按键,然后介绍一种利用内核空间中未公开的热键表的检测技术。
未公開のカーネルデータ構造を使ったホットキー型キーロガーの検知
本記事では、ホットキー型キーロガーとは何かについてと、その検知方法について紹介します。具体的には、ホットキー型キーロガーがどのようにしてキー入力を盗み取るのかを解説した後、カーネルレベルに存在する未公開(Undocumented)のホットキーテーブルを活用した検知手法について説明します。
拆除智能应用控制
本文将以 Windows 智能应用控制和 SmartScreen 为案例,研究如何绕过基于信誉的系统,然后演示如何检测这些弱点。
引入新的漏洞类别:虚假文件不变性
本文介绍了一种以前未命名的 Windows 漏洞类别,证明了假设的危险性并描述了一些意想不到的安全后果。
GrimResource - 用于初始访问和规避的 Microsoft 管理控制台
Elastic 研究人员发现了一种名为 GrimResource 的新技术,它允许通过特制的 MSC 文件执行全部代码。这凸显了一种趋势,即资源充足的攻击者倾向于采用创新的初始访问方法来躲避防御系统。
加倍努力:使用内核 ETW 调用堆栈检测内存威胁
在 Elastic Security 8.11 中,我们添加了进一步的基于内核遥测调用堆栈的检测,以提高抵御内存威胁的有效性。
微软消灭 PPLFault 的计划
在本次研究出版物中,我们将了解 Windows 代码完整性子系统即将进行的改进,这将使恶意软件更难篡改反恶意软件进程和其他重要的安全功能。
揭开调用堆栈的面纱
在本文中,我们将向您展示如何将规则和事件情境化,以及如何利用调用堆栈来更好地理解您在环境中遇到的任何警报。
加大赌注:使用内核调用堆栈检测内存威胁
我们的目标是在创新上超越对手,并保持对攻击者尖端技术的防御。 在 Elastic Security 8.8 中,我们添加了新的基于内核调用堆栈的检测,这为我们提供了更高的针对内存威胁的有效性。
有效父子关系 - 检测基于 LRPC 的父 PID 欺骗
本研究以流程创建为例,概述迄今为止的逃避检测军备竞赛,描述一些当前检测方法的弱点,然后寻求基于 LRPC 的逃避的通用方法。
Stopping Vulnerable Driver Attacks
This post includes a primer on kernel mode attacks, along with Elastic’s recommendations for securing users from kernel attacks leveraging vulnerable drivers.
沙盒化反恶意软件产品,乐趣与收益
本文展示了一个漏洞,该漏洞可使攻击者绕过保护反恶意软件产品免受各种形式攻击的 Windows 安全机制。
在阴影中寻找真相
让我们讨论一下硬件堆栈保护除了预期的漏洞缓解能力之外还带来的三个好处,并解释一些局限性。
Get-InjectedThreadEx – 检测线程创建跳床
在本博客中,我们将演示如何检测四类进程 trampolining,并发布更新的 PowerShell 检测脚本 – Get-InjectedThreadEx
深入了解 TTD 生态系统
这是重点介绍微软开发的时间旅行调试 (TTD) 技术的系列文章中的第一篇,该技术在最近的独立研究期间进行了详细探讨。
寻找内存中的 .NET 攻击
作为我在 DerbyCon 演讲的后续,这篇文章将探讨一种新兴趋势,即攻击者使用基于 .NET 的内存技术来逃避检测