Catégorie
Internes
30 Septembre 2025
FlipSwitch : une nouvelle technique d'accrochage de Syscall
FlipSwitch jette un regard neuf sur le contournement des défenses du noyau Linux, révélant une nouvelle technique dans la bataille permanente entre les cyber-attaquants et les défenseurs.
Enquête sur une signature Authenticode mystérieusement malformée
Une enquête approfondie retraçant un échec de validation de Windows Authenticode à partir de codes d'erreur vagues jusqu'à des routines non documentées du noyau.
Piles d'appel : Plus de laissez-passer pour les logiciels malveillants
Nous explorons l'immense valeur que les piles d'appels apportent à la détection des logiciels malveillants et la raison pour laquelle Elastic les considère comme une télémétrie vitale pour les points d'extrémité Windows, malgré les limitations architecturales.
Des modalités qui se comportent mal : Détecter des outils et non des techniques
Nous explorons le concept de modalité d'exécution et la manière dont les détections axées sur la modalité peuvent compléter celles axées sur le comportement.
Détection des keyloggers basés sur des raccourcis clavier à l'aide d'une structure de données du noyau non documentée
Dans cet article, nous examinons ce que sont les keyloggers basés sur des raccourcis clavier et comment les identifier. Plus précisément, nous expliquons comment ces keyloggers interceptent les frappes, puis nous présentons une technique de détection qui exploite une table de raccourcis clavier non documentée dans l'espace du noyau.
未公開のカーネルデータ構造を使ったホットキー型キーロガーの検知
本記事では、ホットキー型キーロガーとは何かについてと、その検知方法について紹介します。具体的には、ホットキー型キーロガーがどのようにしてキー入力を盗み取るのかを解説した後、カーネルレベルに存在する未公開(Undocumented)のホットキーテーブルを活用した検知手法について説明します。
Démantèlement du contrôle intelligent des applications
Cet article explorera Windows Smart App Control et SmartScreen en tant qu'étude de cas pour étudier les contournements des systèmes basés sur la réputation, puis présentera les détections permettant de remédier à ces faiblesses.
Introduction d'une nouvelle classe de vulnérabilité : La fausse immutabilité des fichiers
Cet article présente une catégorie de vulnérabilité Windows qui n'avait jamais été nommée auparavant. Il démontre les dangers de l'hypothèse et décrit certaines conséquences involontaires en matière de sécurité.
GrimResource - Console de gestion Microsoft pour l'accès initial et l'évasion
Les chercheurs d'Elastic ont découvert une nouvelle technique, GrimResource, qui permet l'exécution complète de code via des fichiers MSC spécialement conçus. Elle souligne la tendance des attaquants disposant de ressources importantes à privilégier des méthodes d'accès initiales innovantes pour échapper aux défenses.
Doubler la mise : détecter les menaces en mémoire avec les piles d'appels ETW du noyau
Avec Elastic Security 8.11, nous avons ajouté d'autres détections basées sur la pile d'appels télémétriques du noyau afin d'accroître l'efficacité contre les menaces en mémoire.
Le plan de Microsoft pour tuer PPLFault : un secret de polichinelle
Dans cette publication de recherche, vous découvrirez les prochaines améliorations apportées au sous-système d'intégrité du code Windows, qui rendront plus difficile l'altération des processus anti-programmes malveillants et d'autres fonctions de sécurité importantes par les logiciels malveillants.
Lever le rideau sur les piles d'appels
Dans cet article, nous vous montrerons comment nous contextualisons les règles et les événements, et comment vous pouvez exploiter les piles d'appels pour mieux comprendre les alertes que vous rencontrez dans votre environnement.
Faire monter les enchères : Détection des menaces en mémoire à l'aide des piles d'appels du noyau
Nous visons à surpasser les adversaires et à maintenir des protections contre les techniques de pointe des attaquants. Avec Elastic Security 8.8, nous avons ajouté de nouvelles détections basées sur la pile d'appels du noyau qui nous permettent d'améliorer l'efficacité contre les menaces en mémoire.
Parentalité efficace - détection de l'usurpation du PID du parent basée sur le LRPC
En utilisant la création de processus comme étude de cas, cette recherche donnera un aperçu de la course aux armements en matière de détection de l'évasion, décrira les faiblesses de certaines approches de détection actuelles et suivra ensuite la recherche d'une approche générique de l'évasion basée sur le LRPC.
Stopping Vulnerable Driver Attacks
This post includes a primer on kernel mode attacks, along with Elastic’s recommendations for securing users from kernel attacks leveraging vulnerable drivers.
La mise en bac à sable de produits anti logiciels malveillants pour le plaisir et le profit
Cet article présente une faille qui permet aux attaquants de contourner un mécanisme de sécurité de Windows qui protège les produits anti-malware contre diverses formes d'attaques.
Trouver la vérité dans l'ombre
Nous allons examiner trois avantages que les protections de la pile matérielle apportent en plus de la capacité prévue d'atténuation des exploits, et expliquer certaines limites.
Get-InjectedThreadEx - Détecter les trampolines de création de threads
Dans ce blog, nous allons démontrer comment détecter chacune des quatre classes de processus de trampolinage et publier un script de détection PowerShell mis à jour - Get-InjectedThreadEx.
Plongée dans l'écosystème TTD
Cet article est le premier d'une série consacrée à la technologie Time Travel Debugging (TTD) développée par Microsoft, qui a été étudiée en détail au cours d'une récente période de recherche indépendante.
La chasse aux attaques In-Memory .NET
Dans le prolongement de ma présentation à la DerbyCon, ce billet se penche sur une nouvelle tendance des adversaires qui utilisent des techniques en mémoire basées sur .NET pour échapper à la détection.