Primäre Bedrohungsforschung vom Elastic Security Labs Threat Command
TELEPUZ is a modular malware that emerged through CLICKFIX-VIDAR attacks in April. We reverse-engineered it to show you the infrastructure and evasion techniques that matter.
Für Sie ausgewählt




Detektionstechnik
Alle anzeigen
Insider im agentischen SOC von Elastic InfoSec: Alarm-Triage von 30 Minuten auf unter 3 verkürzt
Das InfoSec-Team von Elastic hat KI-Agenten auf Elastic Workflows entwickelt, die jeden Alarm untersuchen und den Fall zusammenstellen, bevor ein Analyst ihn überhaupt öffnet.

Azure AD Graph Activity Logs: Aufnahme und Bedrohungserkennung, um die Sichtbarkeitslücke zu schließen
Azure AD Graph Activity Logs landen in Elastic mit vollständigem ECS-Parsing. Erkennen Sie die Aufzählung von ROADrecon und AADInternals mit einsatzbereiten Erkennungsregeln.

Erkennung von Tycoon 2FA AiTM-Angriffen über Entra ID und Google Workspace
Tycoon 2FA umgeht die Multi-Faktor-Authentifizierung bei Entra ID und Google Workspace. Wir ordnen Telemetrie-Fingerabdrücke über beide Plattformen hinweg zu, senden Erkennungsregeln für beide Ebenen und dämmen Vorfälle in weniger als 10 Sekunden mit Elastic Workflows ein.

Kopierfehler und DirtyFrag: Linux-Seitencache-Bugs in der Praxis
Diese Studie analysiert die Linux-Kernel-Schwachstellen Copy Fail und DirtyFrag zur Rechteausweitung, die subtile Fehler im Seitencache ausnutzen, um zuverlässige Wege zum Root-Zugriff zu schaffen. Darüber hinaus veröffentlicht Elastic Security Labs eine Erkennungslogik für diese Schwachstellen.
Malware-Analyse
Alle anzeigen
TELEPUZ: a modular MaaS malware spreading via CLICKFIX-VIDAR chains
TELEPUZ is a modular malware that emerged through CLICKFIX-VIDAR attacks in April. We reverse-engineered it to show you the infrastructure and evasion techniques that matter.

ClickFix to Cash-Out: Anatomie eines mexikanischen Betrugs-Toolkits
Elastic Security Labs verfolgt REF6045, eine aktive, vom Betreiber unterstützte Bankbetrugsoperation, die sich gegen Kunden mexikanischer Banken, Fintechs, Zahlungsabwickler und Kryptowährungsbörsen richtet.

Verloren bei der Verlagerung: Analyse eines neuen Loaders, der CASTLESTEALER verteilt
Erfahren Sie, wie ein neuer obfuzierter Loader statische Erkennung mit .reloc umgeht Abschnittsmissbrauch, fünf Anti-VM/Sprach-Prüfungen und MBA-Verschleierung zur Bereitstellung von Infostealer-Malware über Google Ads.

PHANTOMPULSE: Anatomie eines kaperbaren Blockchain-C2-RAT
Elastic Security Labs präsentiert eine detaillierte Reverse-Engineering-Analyse von PHANTOMPULSE, dem langlebigen RAT, der über das REF6598-Intrusion-Set an Opfer im Kryptosektor ausgeliefert wurde.
Interna
Alle anzeigen
Linux-Fan: Rootkit-Erkennungstechnik
Im zweiten Teil dieser zweiteiligen Serie untersuchen wir die Entwicklung von Rootkit-Erkennungsmethoden unter Linux, wobei wir uns auf die Grenzen der statischen Erkennung und die Bedeutung der Verhaltenserkennung von Rootkits konzentrieren.

Patch diff zu SYSTEM
Unter Verwendung von LLMs und Patch-Diffing beschreibt diese Studie eine Use-After-Free-Schwachstelle in Windows DWM und demonstriert einen zuverlässigen Exploit, der eine Eskalation von Benutzerrechten mit geringen Berechtigungen bis hin zu SYSTEM-Rechten ermöglicht.

Die unveränderliche Illusion: Ihren Kernel mit Cloud-Dateien knacken
Angreifer können eine Klasse von Schwachstellen ausnutzen, um Sicherheitsbeschränkungen zu umgehen und Vertrauensketten zu durchbrechen.

FlipSwitch: eine neuartige Syscall-Hooking-Technik
FlipSwitch bietet einen neuen Blick auf die Umgehung der Linux-Kernel-Abwehr und enthüllt eine neue Technik im anhaltenden Kampf zwischen Cyber-Angreifern und -Verteidigern.
Threat Intelligence
Alle anzeigen
ClickFix to Cash-Out: Anatomie eines mexikanischen Betrugs-Toolkits
Elastic Security Labs verfolgt REF6045, eine aktive, vom Betreiber unterstützte Bankbetrugsoperation, die sich gegen Kunden mexikanischer Banken, Fintechs, Zahlungsabwickler und Kryptowährungsbörsen richtet.

Erkennung von Tycoon 2FA AiTM-Angriffen über Entra ID und Google Workspace
Tycoon 2FA umgeht die Multi-Faktor-Authentifizierung bei Entra ID und Google Workspace. Wir ordnen Telemetrie-Fingerabdrücke über beide Plattformen hinweg zu, senden Erkennungsregeln für beide Ebenen und dämmen Vorfälle in weniger als 10 Sekunden mit Elastic Workflows ein.

PHANTOMPULSE: Anatomie eines kaperbaren Blockchain-C2-RAT
Elastic Security Labs präsentiert eine detaillierte Reverse-Engineering-Analyse von PHANTOMPULSE, dem langlebigen RAT, der über das REF6598-Intrusion-Set an Opfer im Kryptosektor ausgeliefert wurde.

TCLBANKER: Brasilianischer Banking-Trojaner verbreitet sich über WhatsApp und Outlook
REF3076 verwendet einen mit einem Trojaner infizierten Logitech-Installer, um TCLBANKER zu installieren, einen brasilianischen Banking-Trojaner mit umgebungsabhängigen Payloads, WPF-Betrugs-Overlays und sich selbst verbreitenden WhatsApp- und Outlook-Wurmmodulen.
Machine Learning
Alle anzeigen
Erkennen Sie DGA-Aktivitäten (Domain Generation Algorithm) mit der neuen Kibana-Integration
Wir haben der Integrations-App in Kibana ein DGA-Erkennungspaket hinzugefügt. Mit einem einzigen Klick können Sie das DGA-Modell und die zugehörigen Ressourcen installieren und verwenden, einschließlich Erfassungspipelinekonfigurationen, Anomalieerkennungsaufträgen und Erkennungsregeln.

Automatisierung der schnellen Reaktion des Sicherheitsschutzes auf Malware
Informieren Sie sich, wie wir mithilfe von Modellen des maschinellen Lernens die Prozesse verbessert haben, die es uns ermöglichen, als Reaktion auf neue Informationen schnell Aktualisierungen vorzunehmen und diese Schutzmaßnahmen an unsere Benutzer weiterzugeben.

Erkennung von Angriffen durch Ausbeutung der natürlichen Ressourcen mit neuer elastischer Integration
Wir haben der Integrations-App in Kibana ein Erkennungspaket für Living off the land (LotL) hinzugefügt. Mit einem einzigen Klick können Sie das ProblemChild-Modell und die zugehörigen Assets, einschließlich Konfigurationen und Erkennungsregeln zur Anomalieerkennung, installieren und verwenden.
Identifizieren von Beaconing-Malware mit Elastic
In diesem Blog führen wir Benutzer durch die Identifizierung von Beaconing-Malware in ihrer Umgebung mithilfe unseres Beaconing-Identifizierungsframeworks.
Generative KI
Alle anzeigen
Insider im agentischen SOC von Elastic InfoSec: Alarm-Triage von 30 Minuten auf unter 3 verkürzt
Das InfoSec-Team von Elastic hat KI-Agenten auf Elastic Workflows entwickelt, die jeden Alarm untersuchen und den Fall zusammenstellen, bevor ein Analyst ihn überhaupt öffnet.

Vom Schwachstellenbericht bis zum CVE-Entwurf in wenigen Minuten: Wie Elastic Sicherheitshinweise mit KI automatisierte
Wie das Sicherheitsteam von Elastic einen KI-Agenten mit RAG gegen MITREs CWE- und CAPEC-Kataloge erstellte, um CVE-Advisories aus rohen Schwachstellenberichten zu erstellen, einschließlich der vollständigen Prompt- und Crawler-Konfigurationen.

Elastic Security MCP App: Interaktive Sicherheitsoperationen innerhalb Ihrer KI-Tools
Elastic Security ist der erste Sicherheitsanbieter, der eine interaktive Benutzeroberfläche in KI-Tools integriert. Warnmeldungen priorisieren, Bedrohungen aufspüren, Angriffsketten korrelieren und Fälle eröffnen – alles direkt aus Ihrer KI-Konversation heraus.

Überwachung von Claude Code/Cowork im großen Maßstab mit OTel in Elastic
Wie das InfoSec-Team von Elastic eine Monitoring-Pipeline für Claude Code und Claude Cowork unter Verwendung ihrer nativen OTel-Exportfunktionen und der OTel-Ingestionsinfrastruktur von Elastic aufgebaut hat.
Tools
Alle anzeigen
Missbrauch von CI/CD-Pipelines: Das Problem, das niemand beachtet
Wie wir eine Open-Source-CI-Vorlage entwickelt haben, die mithilfe von Signalextraktion und LLM-Schlussfolgerungen CI/CD-Missbrauch in GitHub Actions-, GitLab CI- und Azure DevOps-Pipelines aufspürt.

WinVisor – Ein Hypervisor-basierter Emulator für Windows x64-Anwendungen im Benutzermodus
WinVisor ist ein Hypervisor-basierter Emulator für Windows-x64-Benutzermodusprogramme, der die Windows Hypervisor Platform API zur Bereitstellung einer virtualisierten Umgebung für die Protokollierung von Systemaufrufen und die Möglichkeit der Speicherintrospektion nutzt.

STIXy Situationen: Entkommen Sie Ihren Bedrohungsdaten
Strukturierte Bedrohungsdaten werden in der Regel mit STIX formatiert. Um Ihnen dabei zu helfen, diese Daten in Elasticsearch zu übertragen, veröffentlichen wir ein Python-Skript, das STIX in ein ECS-Format konvertiert, das Sie in Ihren Stack einfügen können.

Tanzen Sie die ganze Nacht durch mit Named Pipes - PIPEDANCE Client Release
In dieser Veröffentlichung werden die Funktionen dieser Clientanwendung und die ersten Schritte mit dem Tool erläutert.
