Recherche principale sur les menaces d'Elastic Security Labs
How Elastic's InfoSec team built a monitoring pipeline for Claude Code and Claude Cowork using their native OTel export capabilities and Elastic's OTel ingestion infrastructure.
En vedette
Ingénierie de détection
Voir tout
The Cost of Understanding: LLM-Driven Reverse Engineering vs Iterative LLM Obfuscation
Elastic Security Labs explores the ongoing arms race between LLM-driven reverse engineering and obfuscation.
Triage des alertes par ordre de priorité avec des règles de détection d'ordre supérieur
Augmentation de l'efficacité du SOC grâce à la corrélation multi-signaux et aux modèles de détection d'ordre supérieur.
Comment nous avons détecté l'attaque de la chaîne d'approvisionnement d'Axios
Joe Desimone raconte comment il a réussi à déjouer l'attaque de la chaîne d'approvisionnement d'Axios grâce à un outil de démonstration construit en une après-midi.
Inside the Axios supply chain compromise - one RAT to rule them all
Elastic Security Labs analyse la compromission de la chaîne d'approvisionnement du paquet axios npm, qui fournit un RAT multiplateforme unifié.
Analyse des malwares
Voir toutThe Cost of Understanding: LLM-Driven Reverse Engineering vs Iterative LLM Obfuscation
Elastic Security Labs explores the ongoing arms race between LLM-driven reverse engineering and obfuscation.
Phantom in the vault : Obsidian a abusé de la livraison du RAT PhantomPulse
Elastic Security Labs a découvert une nouvelle campagne d'ingénierie sociale qui abuse de l'écosystème de plugins communautaires légitimes de l'application populaire de prise de notes Obsidian. La campagne, que nous suivons sous le nom de REF6598, cible des individus dans les secteurs de la finance et des crypto-monnaies par le biais d'une ingénierie sociale élaborée sur LinkedIn et Telegram.
Accroché à Linux : Ingénierie de la détection des rootkits
Dans cette deuxième partie d'une série en deux parties, nous explorons l'ingénierie de la détection des rootkits Linux, en nous concentrant sur les limites de la fiabilité de la détection statique et sur l'importance de la détection comportementale des rootkits.
Inside the Axios supply chain compromise - one RAT to rule them all
Elastic Security Labs analyse la compromission de la chaîne d'approvisionnement du paquet axios npm, qui fournit un RAT multiplateforme unifié.
Internes
Voir toutAccroché à Linux : Ingénierie de la détection des rootkits
Dans cette deuxième partie d'une série en deux parties, nous explorons l'ingénierie de la détection des rootkits Linux, en nous concentrant sur les limites de la fiabilité de la détection statique et sur l'importance de la détection comportementale des rootkits.
Patch diff vers SYSTEM
En s'appuyant sur les LLM et le patch diffing, cette recherche détaille une vulnérabilité Use-After-Free dans Windows DWM, démontrant un exploit fiable qui permet d'escalader les permissions d'un utilisateur faiblement privilégié jusqu'à SYSTEM.
L'illusion immuable : Pirater votre noyau avec des fichiers dans le nuage
Les acteurs de la menace peuvent abuser d'une catégorie de vulnérabilités pour contourner les restrictions de sécurité et briser les chaînes de confiance.
FlipSwitch : une nouvelle technique d'accrochage de Syscall
FlipSwitch jette un regard neuf sur le contournement des défenses du noyau Linux, révélant une nouvelle technique dans la bataille permanente entre les cyber-attaquants et les défenseurs.
Threat Intelligence
Voir toutPhantom in the vault : Obsidian a abusé de la livraison du RAT PhantomPulse
Elastic Security Labs a découvert une nouvelle campagne d'ingénierie sociale qui abuse de l'écosystème de plugins communautaires légitimes de l'application populaire de prise de notes Obsidian. La campagne, que nous suivons sous le nom de REF6598, cible des individus dans les secteurs de la finance et des crypto-monnaies par le biais d'une ingénierie sociale élaborée sur LinkedIn et Telegram.
Inside the Axios supply chain compromise - one RAT to rule them all
Elastic Security Labs analyse la compromission de la chaîne d'approvisionnement du paquet axios npm, qui fournit un RAT multiplateforme unifié.
Elastic publie des détections pour la compromission de la chaîne d'approvisionnement d'Axios
Règles de chasse et de détection pour la compromission de la chaîne d'approvisionnement d'Axios découverte par Elastic.
Fake Installers to Monero: A Multi-Tool Mining Operation
Elastic Security Labs dissects a long-running operation deploying RATs, cryptominers, and CPA fraud through fake installer lures, tracking its evolution across campaigns and Monero payouts.
Machine Learning
Voir tout
Détectez l'activité de l'algorithme de génération de domaine (DGA) grâce à la nouvelle intégration de Kibana
Nous avons ajouté un paquet de détection DGA à l'application Integrations dans Kibana. En un seul clic, vous pouvez installer et commencer à utiliser le modèle DGA et les ressources associées, y compris les configurations du pipeline d'ingestion, les tâches de détection d'anomalies et les règles de détection.
Automatiser la réponse rapide des protections de sécurité aux logiciels malveillants
Découvrez comment nous avons amélioré les processus qui nous permettent de faire des mises à jour rapidement en réponse à de nouvelles informations et de propager ces protections à nos utilisateurs, avec l'aide de modèles d'apprentissage automatique.
Détection des attaques de type "Living-off-the-land" grâce à la nouvelle intégration Elastic
Nous avons ajouté un paquet de détection de Living off the land (LotL) à l'application Integrations dans Kibana. En un seul clic, vous pouvez installer et commencer à utiliser le modèle ProblemChild et les ressources associées, y compris les configurations de détection d'anomalies et les règles de détection.
Identifier les logiciels malveillants de balisage à l'aide d'Elastic
Dans ce blog, nous expliquons aux utilisateurs comment identifier les logiciels malveillants de balisage dans leur environnement à l'aide de notre cadre d'identification de balisage.
IA générative
Voir tout
Monitoring Claude Code/Cowork at scale with OTel in Elastic
How Elastic's InfoSec team built a monitoring pipeline for Claude Code and Claude Cowork using their native OTel export capabilities and Elastic's OTel ingestion infrastructure.
The Cost of Understanding: LLM-Driven Reverse Engineering vs Iterative LLM Obfuscation
Elastic Security Labs explores the ongoing arms race between LLM-driven reverse engineering and obfuscation.
Démarrez avec Elastic Security à partir de votre agent d'IA
Passez de zéro à un environnement Elastic Security entièrement peuplé sans quitter votre IDE, en utilisant l'Agent Skills open source.
Outils MCP : Vecteurs d'attaque et recommandations de défense pour les agents autonomes
Cette recherche examine comment les outils de protocole de contexte de modèle (MCP) élargissent la surface d'attaque des agents autonomes, en détaillant les vecteurs d'exploitation tels que l'empoisonnement d'outils, l'injection d'orchestration et les redéfinitions rug-pull, ainsi que les stratégies de défense pratiques.
Outils
Voir tout
WinVisor – Un émulateur basé sur un hyperviseur pour les exécutables en mode utilisateur Windows x64
WinVisor est un émulateur basé sur un hyperviseur pour les exécutables en mode utilisateur Windows x64 qui utilise l'API de la plateforme Hyper-V de Windows pour offrir un environnement virtualisé permettant de journaliser les appels système et d'activer l'introspection de la mémoire.
Situations STIXy : échapper à vos données de menaces
Les données de menace structurées sont généralement formatées à l’aide de STIX. Pour vous aider à intégrer ces données à Elasticsearch, nous publions un script Python qui convertit STIX au format ECS à intégrer dans votre stack.
Danser jusqu'au bout de la nuit avec des tuyaux nommés - Communiqué de presse PIPEDANCE
Dans cette publication, nous verrons les fonctionnalités de cette application client et comment commencer à utiliser l'outil.
Cliquez, cliquez... Boom ! Automatisation des tests de protection avec Detonate
Pour automatiser ce processus et tester nos protections à grande échelle, nous avons créé Detonate, un système utilisé par les ingénieurs en recherche de sécurité pour mesurer l'efficacité de notre solution Elastic Security de manière automatisée.