Primäre Bedrohungsforschung von Elastic Security Labs
8 Oktober 2025
Was der 2025 Elastic Global Threat Report über die sich wandelnde Bedrohungslandschaft offenbart
Der 2025 Elastic Global Threat Report bietet aktuelle Erkenntnisse zu Gegnertrends und Verteidigerstrategien, die aus realen Telemetriedaten abgeleitet wurden.
Für Sie ausgewählt
Detektionstechnik
Alle anzeigen
Untersuchung einer mysteriös falsch formatierten Authenticode-Signatur
Eine eingehende Untersuchung, bei der ein Windows Authenticode-Validierungsfehler von vagen Fehlercodes bis hin zu nicht dokumentierten Kernelroutinen verfolgt wird.
SHELLTER: ein kommerzielles Umgehungs-Framework, das in freier Wildbahn missbraucht wird
Elastic Security Labs entdeckte das jüngste Aufkommen von Infostealern, die eine illegal erworbene Version des kommerziellen Umgehungs-Frameworks SHELLTER verwenden, um Nutzlasten nach der Ausnutzung bereitzustellen.
Microsoft Entra ID OAuth-Phishing und -Erkennungen
In diesem Artikel werden OAuth-Phishing und tokenbasierter Missbrauch in Microsoft Entra ID untersucht. Durch die Emulation und Analyse von Token, Bereich und Geräteverhalten während der Anmeldeaktivität ermitteln wir High-Fidelity-Signale, die Verteidiger verwenden können, um OAuth-Missbrauch zu erkennen und zu suchen.
Modalitäten für falsches Verhalten: Erkennen von Werkzeugen, nicht von Techniken
Wir untersuchen das Konzept der Ausführungsmodalität und wie modalitätsfokussierte Erkennungen verhaltensorientierte Erkennungen ergänzen können.
Malware-Analyse
Alle anzeigen
RONNINGLOADER: DragonBreaths neuer Weg zum PPL-Missbrauch
Elastic Security Labs entdeckt RONINGLOADER, einen mehrstufigen Loader, der die aktualisierte gh0st-RAT-Variante von DragonBreath einsetzt. Die Kampagne nutzt signierte Treiber, Thread-Pool-Injection und PPL-Missbrauch als Waffe, um Defender zu deaktivieren und chinesische EDR-Tools zu umgehen.
MAUTSTELLE: Was ist deine, IIS meine?
REF3927 missbraucht öffentlich zugängliche ASP.NET-Maschinenschlüssel, um IIS-Server zu kompromittieren und TOLLBOOTH-SEO-Cloaking-Module global einzusetzen.
NightMARE in der 0xelm Street, eine geführte Tour
Dieser Artikel beschreibt nightMARE, eine Python-basierte Bibliothek für Malware-Forscher, die von Elastic Security Labs entwickelt wurde, um die Skalierung von Analysen zu erleichtern. Es beschreibt, wie wir nightMARE verwenden, um Extraktoren für Malware-Konfigurationen zu entwickeln und Intelligenzindikatoren herauszuarbeiten.
WARMCOOKIE Ein Jahr später: Neue Funktionen und frische Erkenntnisse
Ein Jahr später: Elastic Security Labs untersucht die WARMCOOKIE-Hintertür erneut.
Interna
Alle anzeigen
FlipSwitch: eine neuartige Syscall-Hooking-Technik
FlipSwitch bietet einen neuen Blick auf die Umgehung der Linux-Kernel-Abwehr und enthüllt eine neue Technik im anhaltenden Kampf zwischen Cyber-Angreifern und -Verteidigern.
Untersuchung einer mysteriös falsch formatierten Authenticode-Signatur
Eine eingehende Untersuchung, bei der ein Windows Authenticode-Validierungsfehler von vagen Fehlercodes bis hin zu nicht dokumentierten Kernelroutinen verfolgt wird.
Call Stacks: Keine Freikarten mehr für Malware
Wir untersuchen den immensen Wert, den Aufrufstapel für die Malware-Erkennung bieten, und warum Elastic sie trotz der architektonischen Einschränkungen als wichtige Telemetrie für Windows-Endpunkte betrachtet.
Modalitäten für falsches Verhalten: Erkennen von Werkzeugen, nicht von Techniken
Wir untersuchen das Konzept der Ausführungsmodalität und wie modalitätsfokussierte Erkennungen verhaltensorientierte Erkennungen ergänzen können.
Threat Intelligence
Alle anzeigenSHELLTER: ein kommerzielles Umgehungs-Framework, das in freier Wildbahn missbraucht wird
Elastic Security Labs entdeckte das jüngste Aufkommen von Infostealern, die eine illegal erworbene Version des kommerziellen Umgehungs-Frameworks SHELLTER verwenden, um Nutzlasten nach der Ausnutzung bereitzustellen.
Von Südamerika bis Südostasien: Das fragile Netz der REF7707
REF7707 ein südamerikanisches Außenministerium mit neuartigen Malware-Familien ins Visier genommen. Inkonsistente Umgehungstaktiken und Fehltritte bei der operativen Sicherheit legten zusätzliche Infrastrukturen im Besitz von Angreifern offen.
Wetten auf Bots: Untersuchung von Linux-Malware, Krypto-Mining und Missbrauch von Glücksspiel-APIs
Die Kampagne REF6138 beinhaltete Kryptomining, DDoS-Angriffe und potenzielle Geldwäsche über Glücksspiel-APIs und verdeutlichte den Einsatz sich ständig weiterentwickelnder Malware und versteckter Kommunikationskanäle durch die Angreifer.
Verhaltenskodex: Mit Python betriebene Einbrüche der Demokratischen Volksrepublik Korea in gesicherte Netzwerke
Diese Publikation untersucht den strategischen Einsatz von Python und sorgfältig ausgearbeitetem Social Engineering durch die Demokratische Volksrepublik Korea und beleuchtet, wie sie mit immer neuen und effektiven Cyberangriffen in hochsichere Netzwerke einbricht.
Machine Learning
Alle anzeigen
Erkennen Sie DGA-Aktivitäten (Domain Generation Algorithm) mit der neuen Kibana-Integration
Wir haben der Integrations-App in Kibana ein DGA-Erkennungspaket hinzugefügt. Mit einem einzigen Klick können Sie das DGA-Modell und die zugehörigen Ressourcen installieren und verwenden, einschließlich Erfassungspipelinekonfigurationen, Anomalieerkennungsaufträgen und Erkennungsregeln.
Automatisierung der schnellen Reaktion des Sicherheitsschutzes auf Malware
Informieren Sie sich, wie wir mithilfe von Modellen des maschinellen Lernens die Prozesse verbessert haben, die es uns ermöglichen, als Reaktion auf neue Informationen schnell Aktualisierungen vorzunehmen und diese Schutzmaßnahmen an unsere Benutzer weiterzugeben.
Erkennung von Angriffen durch Ausbeutung der natürlichen Ressourcen mit neuer elastischer Integration
Wir haben der Integrations-App in Kibana ein Erkennungspaket für Living off the land (LotL) hinzugefügt. Mit einem einzigen Klick können Sie das ProblemChild-Modell und die zugehörigen Assets, einschließlich Konfigurationen und Erkennungsregeln zur Anomalieerkennung, installieren und verwenden.
Identifizieren von Beaconing-Malware mit Elastic
In diesem Blog führen wir Benutzer durch die Identifizierung von Beaconing-Malware in ihrer Umgebung mithilfe unseres Beaconing-Identifizierungsframeworks.
Generative KI
Alle anzeigen
MCP-Tools: Angriffsvektoren und Verteidigungsempfehlungen für autonome Agenten
Diese Forschung untersucht, wie Model Context Protocol (MCP)-Tools die Angriffsfläche für autonome Agenten erweitern, und beschreibt detailliert Exploit-Vektoren wie Tool Poisoning, Orchestration Injection und Rug-Pull-Neudefinitionen neben praktischen Verteidigungsstrategien.
Zusammenfassung der Agentic Frameworks
Agentensysteme erfordern, dass Sicherheitsteams ein Gleichgewicht zwischen Autonomie und Abstimmung herstellen, um sicherzustellen, dass KI-Agenten unabhängig handeln können und gleichzeitig zielkonsistent und kontrollierbar bleiben.
Elastic erweitert die LLM-Sicherheit mit standardisierten Feldern und Integrationen
Entdecken Sie die neuesten Fortschritte von Elastic im Bereich LLM-Sicherheit mit Schwerpunkt auf standardisierten Feldintegrationen und verbesserten Erkennungsfunktionen. Erfahren Sie, wie Sie Ihre Systeme durch die Einführung dieser Standards schützen können.
Einbettung von Sicherheit in LLM-Workflows: Der proaktive Ansatz von Elastic
Erfahren Sie, wie Elastic die Sicherheit direkt in große Sprachmodelle (LLMs) einbettet. Entdecken Sie unsere Strategien zur Erkennung und Entschärfung einiger der wichtigsten OWASP-Schwachstellen in LLM-Anwendungen und sorgen Sie so für sicherere KI-gesteuerte Anwendungen.
Tools
Alle anzeigen
WinVisor – Ein Hypervisor-basierter Emulator für Windows x64-Anwendungen im Benutzermodus
WinVisor ist ein Hypervisor-basierter Emulator für Windows-x64-Benutzermodusprogramme, der die Windows Hypervisor Platform API zur Bereitstellung einer virtualisierten Umgebung für die Protokollierung von Systemaufrufen und die Möglichkeit der Speicherintrospektion nutzt.
STIXy Situationen: Entkommen Sie Ihren Bedrohungsdaten
Strukturierte Bedrohungsdaten werden in der Regel mit STIX formatiert. Um Ihnen dabei zu helfen, diese Daten in Elasticsearch zu übertragen, veröffentlichen wir ein Python-Skript, das STIX in ein ECS-Format konvertiert, das Sie in Ihren Stack einfügen können.
Tanzen Sie die ganze Nacht durch mit Named Pipes - PIPEDANCE Client Release
In dieser Veröffentlichung werden die Funktionen dieser Clientanwendung und die ersten Schritte mit dem Tool erläutert.
Klick, Klick... Bumm! Automatisiertes Testen von Schutzmaßnahmen mit Detonate
Um diesen Prozess zu automatisieren und unsere Schutzmaßnahmen im großen Maßstab zu testen, haben wir Detonate entwickelt, ein System, mit dem Sicherheitsforscher die Wirksamkeit unserer Elastic Security-Lösung automatisiert messen.