Recherche principale sur les menaces d'Elastic Security Labs

8 Octobre 2025

Ce que le rapport mondial sur les menaces 2025 Elastic révèle sur l'évolution du paysage des menaces

Le rapport Elastic Global Threat Report ( 2025 ) fournit des informations actualisées sur les tendances des adversaires et les stratégies des défenseurs, à partir de données télémétriques réelles.

En vedette

Automating detection tuning requests with Kibana casespar Aaron Jewitt5 Décembre 2025

RONINGLOADER : La nouvelle voie de DragonBreath vers les abus de la PPLpar Jia Yu Chan, Salim Bitam15 novembre 2025

Aperçu de la surveillance des nœuds de sortie TORpar Peter Titov27 Octobre 2025

Mesure du temps nécessaire à l'application des correctifs : Une approche d'analyse de survie utilisant Qualys et Elasticpar Laura Voicu, Clement Fouque22 Octobre 2025

Suivez Elastic Security Labs sur Twitter S'abonner à la newsletter

Ingénierie de détection

Voir tout

4 Septembre 2025

Enquête sur une signature Authenticode mystérieusement malformée

Une enquête approfondie retraçant un échec de validation de Windows Authenticode à partir de codes d'erreur vagues jusqu'à des routines non documentées du noyau.

3 juillet 2025

S'abriter : un cadre d'évasion commerciale utilisé de manière abusive dans la nature

Elastic Security Labs a détecté l'émergence récente de voleurs d'informations utilisant une version illicite du cadre d'évasion commercial, SHELLTER, pour déployer des charges utiles post-exploitation.

25 Juin 2025

Microsoft Entra ID OAuth Phishing et détections

Cet article explore le phishing OAuth et les abus basés sur les jetons dans Microsoft Entra ID. Grâce à l'émulation et à l'analyse des jetons, de la portée et du comportement de l'appareil pendant l'activité de connexion, nous faisons apparaître des signaux de haute fidélité que les défenseurs peuvent utiliser pour détecter et traquer les abus d'OAuth.

15 Mai 2025

Des modalités qui se comportent mal : Détecter des outils et non des techniques

Nous explorons le concept de modalité d'exécution et la manière dont les détections axées sur la modalité peuvent compléter celles axées sur le comportement.

Analyse des malwares

Voir tout

15 novembre 2025

RONINGLOADER : La nouvelle voie de DragonBreath vers les abus de la PPL

Elastic Security Labs a découvert RONINGLOADER, un chargeur en plusieurs étapes déployant la variante RAT gh0st mise à jour par DragonBreath. La campagne utilise des pilotes signés, l'injection de pools de threads et l'utilisation abusive de PPL pour désactiver Defender et échapper aux outils EDR chinois.

22 Octobre 2025

TOLLBOOTH : Quel est le vôtre, IIS le mien ?

REF3927 utilise des clés de machine ASP.NET divulguées publiquement pour compromettre des serveurs IIS et déployer des modules d'occultation SEO TOLLBOOTH à l'échelle mondiale.

14 Octobre 2025

NightMARE sur la rue 0xelm, une visite guidée

Cet article décrit nightMARE, une bibliothèque en python destinée aux chercheurs de logiciels malveillants et développée par Elastic Security Labs pour faciliter l'analyse à grande échelle. Il décrit comment nous utilisons nightMARE pour développer des extracteurs de configuration de logiciels malveillants et extraire des indicateurs de renseignement.

1 Octobre 2025

WARMCOOKIE, un an après : Nouvelles fonctionnalités et nouvelles idées

Un an plus tard : Elastic Security Labs réexamine la porte dérobée WARMCOOKIE.

Internes

Voir tout

30 Septembre 2025

FlipSwitch : une nouvelle technique d'accrochage de Syscall

FlipSwitch jette un regard neuf sur le contournement des défenses du noyau Linux, révélant une nouvelle technique dans la bataille permanente entre les cyber-attaquants et les défenseurs.

4 Septembre 2025

Enquête sur une signature Authenticode mystérieusement malformée

Une enquête approfondie retraçant un échec de validation de Windows Authenticode à partir de codes d'erreur vagues jusqu'à des routines non documentées du noyau.

12 Juin 2025

Piles d'appel : Plus de laissez-passer pour les logiciels malveillants

Nous explorons l'immense valeur que les piles d'appels apportent à la détection des logiciels malveillants et la raison pour laquelle Elastic les considère comme une télémétrie vitale pour les points d'extrémité Windows, malgré les limitations architecturales.

15 Mai 2025

Des modalités qui se comportent mal : Détecter des outils et non des techniques

Nous explorons le concept de modalité d'exécution et la manière dont les détections axées sur la modalité peuvent compléter celles axées sur le comportement.

Threat Intelligence

Voir tout

3 juillet 2025

S'abriter : un cadre d'évasion commerciale utilisé de manière abusive dans la nature

13 Février 2025

De l'Amérique du Sud à l'Asie du Sud-Est : Le réseau fragile de REF7707

REF7707 a ciblé un ministère des affaires étrangères sud-américain en utilisant de nouvelles familles de logiciels malveillants. Des tactiques d'évasion incohérentes et des erreurs de sécurité opérationnelle ont exposé d'autres infrastructures appartenant à l'adversaire.

27 septembre 2024

Parier sur les robots : enquête sur les malwares Linux, le minage de cryptomonnaies et les abus d'API de jeu

La campagne REF6138 impliquait du minage de cryptomonnaies, des attaques DDoS et un éventuel blanchiment d'argent via des API de jeu, mettant en lumière l'utilisation par les attaquants de logiciels malveillants évolutifs et de canaux de communication furtifs.

18 septembre 2024

Code de conduite : les intrusions de la RPDC dans les réseaux sécurisés alimentées par Python

En étudiant l'utilisation stratégique de Python et l'ingénierie sociale soigneusement élaborée par la RPDC, cette publication met en lumière la manière dont les réseaux hautement sécurisés sont violés par des cyberattaques évolutives et efficaces.

Machine Learning

Voir tout

17 mai 2023

Détectez l'activité de l'algorithme de génération de domaine (DGA) grâce à la nouvelle intégration de Kibana

Nous avons ajouté un paquet de détection DGA à l'application Integrations dans Kibana. En un seul clic, vous pouvez installer et commencer à utiliser le modèle DGA et les ressources associées, y compris les configurations du pipeline d'ingestion, les tâches de détection d'anomalies et les règles de détection.

1er mars 2023

Automatiser la réponse rapide des protections de sécurité aux logiciels malveillants

Découvrez comment nous avons amélioré les processus qui nous permettent de faire des mises à jour rapidement en réponse à de nouvelles informations et de propager ces protections à nos utilisateurs, avec l'aide de modèles d'apprentissage automatique.

1er mars 2023

Détection des attaques de type "Living-off-the-land" grâce à la nouvelle intégration Elastic

Nous avons ajouté un paquet de détection de Living off the land (LotL) à l'application Integrations dans Kibana. En un seul clic, vous pouvez installer et commencer à utiliser le modèle ProblemChild et les ressources associées, y compris les configurations de détection d'anomalies et les règles de détection.

1er mars 2023

Identifier les logiciels malveillants de balisage à l'aide d'Elastic

Dans ce blog, nous expliquons aux utilisateurs comment identifier les logiciels malveillants de balisage dans leur environnement à l'aide de notre cadre d'identification de balisage.

IA générative

Voir tout

19 Septembre 2025

Outils MCP : Vecteurs d'attaque et recommandations de défense pour les agents autonomes

Cette recherche examine comment les outils de protocole de contexte de modèle (MCP) élargissent la surface d'attaque des agents autonomes, en détaillant les vecteurs d'exploitation tels que l'empoisonnement d'outils, l'injection d'orchestration et les redéfinitions rug-pull, ainsi que les stratégies de défense pratiques.

12 août 2025

Résumé des cadres agentiques

Les systèmes agentiques obligent les équipes de sécurité à trouver un équilibre entre l'autonomie et l'alignement, en veillant à ce que les agents d'intelligence artificielle puissent agir de manière indépendante tout en restant cohérents par rapport aux objectifs et contrôlables.

6 mai 2024

Elastic améliore la sécurité du LLM avec des champs et des intégrations standardisés

Découvrez les dernières avancées d'Elastic en matière de sécurité LLM, en vous concentrant sur les intégrations de champs standardisés et les capacités de détection améliorées. Découvrez comment l'adoption de ces normes peut protéger vos systèmes.

25 avril 2024

Intégrer la sécurité aux workflow LLM : l'approche proactive d'Elastic

Découvrez comment Elastic a intégré la sécurité directement dans les Large Language Models (LLM). Découvrez nos stratégies de détection et d'atténuation de plusieurs des principales vulnérabilités OWASP dans les applications LLM, afin de garantir des applications pilotées par l'IA plus sûres et plus sécurisées.

Outils

Voir tout

24 Janvier 2025

WinVisor – Un émulateur basé sur un hyperviseur pour les exécutables en mode utilisateur Windows x64

WinVisor est un émulateur basé sur un hyperviseur pour les exécutables en mode utilisateur Windows x64 qui utilise l'API de la plateforme Hyper-V de Windows pour offrir un environnement virtualisé permettant de journaliser les appels système et d'activer l'introspection de la mémoire.

9 février 2024

Situations STIXy : échapper à vos données de menaces

Les données de menace structurées sont généralement formatées à l’aide de STIX. Pour vous aider à intégrer ces données à Elasticsearch, nous publions un script Python qui convertit STIX au format ECS à intégrer dans votre stack.

5 octobre 2023

Danser jusqu'au bout de la nuit avec des tuyaux nommés - Communiqué de presse PIPEDANCE

Dans cette publication, nous verrons les fonctionnalités de cette application client et comment commencer à utiliser l'outil.

4 mai 2023

Cliquez, cliquez... Boom ! Automatisation des tests de protection avec Detonate

Pour automatiser ce processus et tester nos protections à grande échelle, nous avons créé Detonate, un système utilisé par les ingénieurs en recherche de sécurité pour mesurer l'efficacité de notre solution Elastic Security de manière automatisée.