Elastic Security Labsによる主な脅威の研究
8 10月2025日
2025 Elasticグローバル脅威レポートが明らかにする、進化する脅威の状況
2025 Elastic グローバル脅威レポートでは、実際のテレメトリから得られた敵の傾向と防御戦略に関する最新の洞察を提供します。
検出工学
すべて表示
謎の不正な形式の Authenticode 署名の調査
不明瞭なエラー コードから文書化されていないカーネル ルーチンまで、Windows Authenticode 検証エラーを追跡する詳細な調査。
SHELLTERを例にとると、悪用された商業回避フレームワーク
Elastic Security Labsは、最近、不正に入手した商用回避フレームワークであるSHELLTERを使用して、エクスプロイト後のペイロードをデプロイするインフォスティーラーの出現を検知しました。
Microsoft Entra ID OAuth のフィッシングと検出
この記事では、Microsoft Entra ID での OAuth フィッシングとトークンベースの不正使用について説明します。サインイン アクティビティ中のトークン、スコープ、デバイスの動作のエミュレーションと分析を通じて、防御側が OAuth の誤用を検出してハンティングするために使用できる忠実度の高いシグナルを明らかにします。
誤動作のモダリティ: 手法ではなくツールの検出
実行モダリティの概念と、モダリティに焦点を当てた検出が行動に焦点を当てた検出をどのように補完できるかを探ります。
マルウェア分析
すべて表示
RONINGLOADER: DragonBreath の PPL 乱用への新たな道
Elastic Security Labs は、DragonBreath の更新された gh0st RAT バリアントを展開するマルチステージ ローダーである RONINGLOADER を発見しました。このキャンペーンでは、署名付きドライバー、スレッドプール インジェクション、PPL の悪用を武器にして、Defender を無効にし、中国の EDR ツールを回避します。
料金所: 君のはどうだ、IISは俺のだ
REF3927 は、公開されている ASP.NET マシン キーを悪用して IIS サーバーを侵害し、TOLLBOOTH SEO クローキング モジュールを世界中に展開します。
0xelm Streetのナイトメア、ガイド付きツアー
この記事では、Elastic Security Labs が分析の拡張を支援するために開発した、マルウェア研究者向けの Python ベースのライブラリである nightMARE について説明します。nightMARE を使用してマルウェア構成抽出ツールを開発し、インテリジェンス インジケーターを切り出す方法について説明します。
WARMCOOKIE 1周年:新機能と新鮮な洞察
1 年後: Elastic Security Labs が WARMCOOKIE バックドアを再調査します。
内部
すべて表示
FlipSwitch: 新しいシステムコールフック技術
FlipSwitch は、Linux カーネル防御の回避について新たな視点を提供し、サイバー攻撃者と防御者の間で繰り広げられている戦いにおける新しい手法を明らかにしています。
謎の不正な形式の Authenticode 署名の調査
不明瞭なエラー コードから文書化されていないカーネル ルーチンまで、Windows Authenticode 検証エラーを追跡する詳細な調査。
コールスタック:マルウェアの無料パスはもうありません
コールスタックがマルウェア検知にもたらす計り知れない価値と、アーキテクチャ上の制限にもかかわらず、Elasticがコールスタックを重要なWindowsエンドポイントテレメトリーと見なしている理由を探ります。
誤動作のモダリティ: 手法ではなくツールの検出
実行モダリティの概念と、モダリティに焦点を当てた検出が行動に焦点を当てた検出をどのように補完できるかを探ります。
脅威インテリジェンス
すべて表示SHELLTERを例にとると、悪用された商業回避フレームワーク
Elastic Security Labsは、最近、不正に入手した商用回避フレームワークであるSHELLTERを使用して、エクスプロイト後のペイロードをデプロイするインフォスティーラーの出現を検知しました。
南アメリカから東南アジアへ:REF7707の脆弱な網
REF7707、新しいマルウェアファミリーを使用して南米の外務省を標的にしました。一貫性のない回避戦術と運用上のセキュリティの失敗により、敵対者が所有する追加のインフラストラクチャが明らかになりました。
ボットに託す望み:Linuxマルウェア、クリプトマイニング、ギャンブル向けAPIの不正使用を調査中
REF6138キャンペーンでは、クリプトマイニング、DDoS攻撃、ギャンブル向けのAPIを介したマネーロンダリングが発生した可能性があり、攻撃者が進化を続けるマルウェアとステルス通信チャネルを使用していることが浮き彫りになりました。
行動規範:北朝鮮のPythonによるセキュリティ保護されたネットワークへの侵入
このドキュメントは、北朝鮮によるPythonの戦略的使用と入念に作成されたソーシャルエンジニアリングを調査し、進化を続ける効果的なサイバー攻撃によって、安全性の高いネットワークをどのように侵害するのか明らかにします。
機械学習
すべて表示
新しいKibana統合によるドメイン生成アルゴリズム(DGA)アクティビティの検出
Kibana の Integrations アプリに DGA 検出パッケージを追加しました。 1 回のクリックで、DGA モデルと、取り込みパイプライン構成、異常検出ジョブ、検出ルールなどの関連アセットをインストールして使用を開始できます。
マルウェアへのセキュリティ保護の迅速な対応を自動化
機械学習モデルの助けを借りて、新しい情報に応じて迅速に更新を行い、それらの保護をユーザーに伝えるプロセスをどのように改善してきたかをご覧ください。
新しいElastic統合によるLiving-off-the-land攻撃の検出
Kibana の統合アプリに Living off the land (LotL) 検出パッケージを追加しました。1 回のクリックで、ProblemChild モデルと、異常検出構成や検出ルールなどの関連アセットをインストールして使用を開始できます。
Elasticを使用したビーコンマルウェアの特定
このブログでは、ビーコン識別フレームワークを使用して、ユーザーの環境内のビーコン マルウェアを識別する手順を説明します。
生成AI
すべて表示
MCPツール: 自律エージェントに対する攻撃ベクトルと防御推奨事項
この調査では、モデル コンテキスト プロトコル (MCP) ツールが自律エージェントの攻撃対象領域をどのように拡大するかを調査し、ツール ポイズニング、オーケストレーション インジェクション、ラグ プル再定義などのエクスプロイト ベクトルを、実用的な防御戦略とともに詳細に説明します。
エージェントフレームワークの概要
エージェント システムでは、セキュリティ チームが自律性と調整のバランスをとり、AI エージェントが目標の一贯性と制御性を維持しながら独立して行動できるようにする必要があります。
Elastic、標準化されたフィールドと統合によりLLMのセキュリティを強化
標準化されたフィールド統合と強化された検出機能に重点を置いた、ElasticのLLMセキュリティの最新の進歩をご覧ください。これらの標準を採用することでシステムをどのように保護できるかを学びましょう。
LLMワークフローにセキュリティを組み込む:Elasticの能動的アプローチ
大規模言語モデル(LLM)にセキュリティを直接組み込むElasticの取り組みをご紹介します。LLMアプリケーションにおけるOWASPの脆弱性の上位いくつかを検出・軽減し、より安全でセキュアなAI駆動型アプリケーションを確保する当社の戦略をご覧ください。
ツール
すべて表示
WinVisor – Windows x64のユーザーモード実行ファイルを目的としたハイパーバイザーベースのエミュレーター
WinVisor は、Windows x64 ユーザーモード実行可能ファイルのためのハイパーバイザーベースのエミュレーターで、Windows Hypervisor Platform API を利用して、システムコールのログ記録とメモリのイントロスペクションを可能にする仮想化環境を提供します。
STIX的シチュエーション:脅威データのエスケープ
構造化された脅威データは通常、STIXを使用してフォーマットされます。このデータをElasticsearchに取り込むために、STIXをECS形式に変換してスタックに取り込む、Pythonスクリプトをリリースします。
名前付きパイプで夜通し踊る - PIPEDANCEクライアントリリース
この資料では、このクライアント アプリケーションの機能と、ツールの使用を開始する方法について説明します。
カチッ、カチッ… ドカン!Detonateで保護テストを自動化
このプロセスを自動化し、大規模な保護をテストするために、セキュリティ研究エンジニアがElastic Securityソリューションの有効性を自動的に測定するために使用するシステム「Detonate」を構築しました。