Categoría

Funcionamiento interno

30 septiembre de 2025

FlipSwitch: una novedosa técnica de enganche de llamadas al sistema

FlipSwitch ofrece una nueva mirada a la elusión de las defensas del kernel de Linux, revelando una nueva técnica en la batalla en curso entre los atacantes cibernéticos y los defensores.

4 septiembre de 2025

Investigación de una firma Authenticode misteriosamente malformada

Una investigación en profundidad que rastrea una falla de validación de Windows Authenticode desde códigos de error vagos hasta rutinas de kernel no documentadas.

12 de junio de 2025

Pilas de llamadas: No más pases libres para el malware

Exploramos el inmenso valor que las pilas de llamadas aportan a la detección de malware y por qué Elastic las considera una telemetría vital para los puntos finales de Windows a pesar de las limitaciones arquitectónicas.

15 de mayo de 2025

Modalidades de mal comportamiento: detección de herramientas, no de técnicas

Exploramos el concepto de modalidad de ejecución y cómo las detecciones centradas en la modalidad pueden complementar las centradas en el comportamiento.

4 de marzo de 2025

Detección de keyloggers basados en teclas de acceso rápido usando una estructura de datos del kernel no documentada

En este artículo, exploramos qué son los keyloggers basados en teclas de acceso rápido y cómo detectarlos. Específicamente, explicamos cómo estos keyloggers interceptan las pulsaciones de teclas y, luego, presentamos una técnica de detección que aprovecha una tabla de teclas de acceso rápido no documentada en el espacio del kernel.

4 febrero de 2025

未公開のカーネルデータ構造を使ったホットキー型キーロガーの検知

本記事では、ホットキー型キーロガーとは何かについてと、その検知方法について紹介します。具体的には、ホットキー型キーロガーがどのようにしてキー入力を盗み取るのかを解説した後、カーネルレベルに存在する未公開(Undocumented)のホットキーテーブルを活用した検知手法について説明します。

6 de agosto de 2024

Desmantelamiento del control de aplicaciones inteligente

En este artículo, se analizarán Windows Smart App Control y SmartScreen como un caso de estudio para investigar las vulnerabilidades en los sistemas basados en la reputación, y luego se mostrarán cuáles son las detecciones para cubrir esas debilidades.

11 julio 2024

Presentamos una nueva clase de vulnerabilidad: la inmutabilidad de archivos falsos

En este artículo se presenta una clase de vulnerabilidad de Windows sin nombre anterior que demuestra los peligros de la suposición y describe algunas consecuencias de seguridad no deseadas.

22 de junio de 2024

GrimResource - Consola de administración de Microsoft para acceso inicial y evasión

Los investigadores de Elastic descubrieron una nueva técnica, GrimResource, que permite la ejecución completa de código a través de archivos MSC especialmente diseñados. Suelta una tendencia de atacantes bien dotados de recursos que favorecen métodos innovadores de acceso inicial para evadir las defensas.

9 de enero de 2024

Duplicación: Detección de amenazas en memoria con pilas de llamadas ETW del kernel

Con Elastic Security 8.11, agregamos más detecciones basadas en la pila de llamadas de telemetría del kernel para aumentar la eficacia contra las amenazas en memoria.

15 septiembre 2023

Dentro del plan de Microsoft para acabar con PPLFault

En esta publicación de investigación, aprenderemos sobre las próximas mejoras en el subsistema de integridad del código de Windows que dificultarán que el malware manipule los procesos antimalware y otras características de seguridad importantes.

13 septiembre 2023

Descorrer la cortina con pilas de llamadas

En este artículo, le mostraremos cómo contextualizamos las reglas y los eventos, y cómo puede aprovechar las pilas de llamadas para comprender mejor las alertas que encuentre en su entorno.

31 de mayo de 2023

Subiendo la apuesta: Detección de amenazas en memoria con pilas de llamadas del kernel

Nuestro objetivo es superar en innovación a los adversarios y mantener las protecciones contra la vanguardia de los atacantes. Con Elastic Security 8.8, agregamos nuevas detecciones basadas en la pila de llamadas del kernel que nos brindan una eficacia mejorada contra las amenazas en memoria.

29 marzo 2023

Crianza efectiva: detección de la suplantación de identidad PID de los padres basada en LRPC

Empleando la creación de procesos como estudio de caso, esta investigación describirá la carrera armamentista de detección de evasión hasta la fecha, describirá las debilidades de algunos enfoques de detección actuales y luego seguirá la búsqueda de un enfoque genérico para la evasión basada en LRPC.

1 de marzo de 2023

Stopping Vulnerable Driver Attacks

This post includes a primer on kernel mode attacks, along with Elastic’s recommendations for securing users from kernel attacks leveraging vulnerable drivers.

21 febrero 2023

Productos antimalware de sandboxing para divertir y obtener beneficios

Este artículo muestra una falla que permite a los atacantes eludir un mecanismo de seguridad de Windows que protege los productos antimalware de varias formas de ataque.

26 enero 2023

Encontrar la verdad en las sombras

Analicemos tres beneficios que las protecciones de pila de hardware aportan más allá de la capacidad de mitigación de exploits prevista y expliquemos algunas limitaciones.

7 de diciembre de 2022

Get-InjectedThreadEx: detección de trampolines de creación de subprocesos

En este blog, demostraremos cómo detectar cada una de las cuatro clases de trampolín de procesos y lanzar un script de detección de PowerShell actualizado: Get-InjectedThreadEx

30 noviembre 2022

Sumérgete en el ecosistema TTD

Este es el primero de un serial centrado en la tecnología de depuración de viajes en el tiempo (TTD) desarrollada por Microsoft que se exploró en detalle durante un reciente periodo de investigación independiente.

21 junio 2022

A la caza de ataques de .NET en memoria

Como seguimiento a mi presentación en DerbyCon, esta publicación investigará una tendencia emergente de adversarios que usan . Técnicas en memoria basadas en NET para evadir la detección