Kategorie

Interna

30 September 2025

FlipSwitch: eine neuartige Syscall-Hooking-Technik

FlipSwitch bietet einen neuen Blick auf die Umgehung der Linux-Kernel-Abwehr und enthüllt eine neue Technik im anhaltenden Kampf zwischen Cyber-Angreifern und -Verteidigern.

4 September 2025

Untersuchung einer mysteriös falsch formatierten Authenticode-Signatur

Eine eingehende Untersuchung, bei der ein Windows Authenticode-Validierungsfehler von vagen Fehlercodes bis hin zu nicht dokumentierten Kernelroutinen verfolgt wird.

12 Juni 2025

Call Stacks: Keine Freikarten mehr für Malware

Wir untersuchen den immensen Wert, den Aufrufstapel für die Malware-Erkennung bieten, und warum Elastic sie trotz der architektonischen Einschränkungen als wichtige Telemetrie für Windows-Endpunkte betrachtet.

15 Mai 2025

Modalitäten für falsches Verhalten: Erkennen von Werkzeugen, nicht von Techniken

Wir untersuchen das Konzept der Ausführungsmodalität und wie modalitätsfokussierte Erkennungen verhaltensorientierte Erkennungen ergänzen können.

4 März 2025

Erkennung von Hotkey-basierten Keyloggern unter Verwendung einer nicht dokumentierten Kernel-Datenstruktur

In diesem Artikel untersuchen wir, was Hotkey-basierte Keylogger sind und wie man sie erkennen kann. Insbesondere erklären wir, wie diese Keylogger Tastatureingaben abfangen, und präsentieren dann eine Erkennungstechnik, die eine undokumentierte Hotkey-Tabelle im Kernel-Space nutzt.

4 Februar 2025

未公開のカーネルデータ構造を使ったホットキー型キーロガーの検知

本記事では、ホットキー型キーロガーとは何かについてと、その検知方法について紹介します。具体的には、ホットキー型キーロガーがどのようにしてキー入力を盗み取るのかを解説した後、カーネルレベルに存在する未公開(Undocumented)のホットキーテーブルを活用した検知手法について説明します。

6. August 2024

Deaktivierung von Smart App Control

In diesem Artikel werden Windows Smart App Control und SmartScreen als Fallstudie für die Erforschung von Umgehungen reputationsbasierter Systeme untersucht und anschließend Erkennungen zur Abdeckung dieser Schwachstellen demonstriert.

11. Juli 2024

Einführung einer neuen Schwachstellenklasse: Unveränderlichkeit falscher Dateien

In diesem Artikel wird eine bisher unbenannte Klasse von Windows-Sicherheitsanfälligkeiten vorgestellt, die die Gefahren der Annahme veranschaulicht und einige unbeabsichtigte Sicherheitsfolgen beschreibt.

22. Juni 2024

GrimResource - Microsoft Management Console für den Erstzugriff und die Umgehung

Forscher von Elastic haben eine neue Technik namens GrimResource entdeckt, die die vollständige Codeausführung über speziell gestaltete MSC-Dateien ermöglicht. Dies unterstreicht den Trend, dass gut ausgerüstete Angreifer innovative Erstzugriffsmethoden bevorzugen, um die Verteidigungsmaßnahmen zu umgehen.

9 Januar 2024

Verdoppelung: Erkennen von In-Memory-Bedrohungen mit Kernel-ETW-Aufrufstapeln

Mit Elastic Security 8.11 haben wir weitere Kernel-Telemetrie-Call-Stack-basierte Erkennungen hinzugefügt, um die Wirksamkeit gegen In-Memory-Bedrohungen zu erhöhen.

15. September 2023

Hinter den Kulissen von Microsofts Plan, PPLFault zu töten

In dieser Forschungspublikation erfahren wir mehr über bevorstehende Verbesserungen des Windows-Subsystems für die Codeintegrität, die es Malware erschweren, Anti-Malware-Prozesse und andere wichtige Sicherheitsfunktionen zu manipulieren.

13. September 2023

Vorhang lüften mit Aufrufstapeln

In diesem Artikel zeigen wir Ihnen, wie wir Regeln und Ereignisse kontextualisieren und wie Sie Aufruflisten nutzen können, um alle Warnungen, die in Ihrer Umgebung auftreten, besser zu verstehen.

31. Mai 2023

Den Einsatz erhöhen: Erkennen von In-Memory-Bedrohungen mit Kernel-Aufrufstapeln

Unser Ziel ist es, Angreifer zu übertreffen und Schutz vor den neuesten Angreifern zu bieten. Mit Elastic Security 8.8 haben wir neue Kernel-Call-Stack-basierte Erkennungen hinzugefügt, die uns eine verbesserte Wirksamkeit gegen In-Memory-Bedrohungen bieten.

29. März 2023

Effective Parenting - Erkennung von LRPC-basiertem PID-Spoofing

Anhand der Prozessentwicklung als Fallstudie wird in dieser Studie das bisherige Wettrüsten zwischen Umgehung und Erkennung skizziert, die Schwächen einiger aktueller Erkennungsansätze beschrieben und dann die Suche nach einem generischen Ansatz für LRPC-basierte Umgehung verfolgt.

1. März 2023

Stopping Vulnerable Driver Attacks

This post includes a primer on kernel mode attacks, along with Elastic’s recommendations for securing users from kernel attacks leveraging vulnerable drivers.

21. Februar 2023

Sandboxing von Antimalware-Produkten zum Spaß und zum Profit

Dieser Artikel zeigt einen Fehler, der es Angreifern ermöglicht, einen Windows-Sicherheitsmechanismus zu umgehen, der Anti-Malware-Produkte vor verschiedenen Formen von Angriffen schützt.

26. Januar 2023

Die Wahrheit im Schatten finden

Lassen Sie uns drei Vorteile erörtern, die Hardware Stack Protections über die beabsichtigte Funktion zur Exploit-Abwehr hinaus mit sich bringt, und einige Einschränkungen erläutern.

7. Dezember 2022

Get-InjectedThreadEx – Erkennen von Garnerstellungstrampolinen

In diesem Blog zeigen wir, wie Sie jede der vier Klassen von Prozesstrampolining erkennen können, und veröffentlichen ein aktualisiertes PowerShell-Erkennungsskript – Get-InjectedThreadEx

30. November 2022

Tauchen Sie ein in das TTD-Ökosystem

Dies ist der erste Teil einer Reihe, die sich auf die von Microsoft entwickelte Time Travel Debugging (TTD)-Technologie konzentriert, die in einem kürzlich durchgeführten unabhängigen Forschungszeitraum ausführlich untersucht wurde.

21. Juni 2022

Auf der Jagd nach In-Memory-.NET-Angriffen

Als Fortsetzung meiner DerbyCon-Präsentation wird dieser Beitrag einen aufkommenden Trend untersuchen, bei dem Angreifer . NET-basierte In-Memory-Techniken, um der Erkennung zu entgehen