Elastic Security Labs Threat Commandによる主要な脅威調査
How Elastic's security team built an AI agent with RAG against MITRE's CWE and CAPEC catalogues to draft CVE advisories from raw vulnerability reports, including the full prompt and crawler configs.
トピック
検出工学
すべて表示
Azure AD Graphアクティビティログ:取り込みと脅威検出により可視性のギャップを解消
Azure AD Graph Activity Logs land in Elastic with full ECS parsing. Detect ROADrecon and AADInternals enumeration with ready-to-use detection rules.
Entra IDとGoogle WorkspaceにおけるTycoon 2FA AiTM攻撃の検出
Tycoon 2FAは、Entra IDとGoogle WorkspaceのMFAをバイパスします。弊社では、両プラットフォームにわたるテレメトリのフィンガープリントをマッピングし、両ティアの検出ルールを出荷し、Elastic Workflowsを使用してインシデントを 10 秒未満で封じ込めます。
コピー失敗とダーティフラグ:Linuxページキャッシュのバグが現実世界で発生
本研究では、Linuxカーネルの権限昇格脆弱性であるCopy FailとDirtyFragを分析します。これらの脆弱性は、微妙なページキャッシュの破損バグを悪用して、root権限への確実なアクセス経路を作り出します。さらに、Elastic Security Labsはこれらの脆弱性に対する検出ロジックを公開する予定です。
CI/CDパイプラインの悪用:誰も注目していない問題
GitHub Actions、GitLab CI、Azure DevOpsパイプラインにおけるCI/CDの不正利用を検出するために、シグナル抽出とLLM推論を利用した、オープンソースでそのまま導入可能なCIテンプレートをどのように構築したか。
マルウェア分析
すべて表示
移転で失われたもの:CASTLESTEALERを分配する新しいローダーの分析
Find out how a new obfuscated loader evades static detection using .reloc section abuse, five anti-VM/language checks and MBA obfuscation to deliver infostealer malware via Google Ads.
PHANTOMPULSE:ハイジャック可能なブロックチェーンC2 RATの構造
Elastic Security Labsは、REF6598侵入セットを通じて暗号通貨業界の被害者に拡散された、長期間存続するRATであるPHANTOMPULSEの詳細なリバースエンジニアリング分析を発表します。
TCLBANKER:ブラジル発の銀行トロイの木馬がWhatsAppとOutlookを介して拡散
REF3076は、トロイの木馬化されたLogitechインストーラーを使用して、環境制御型ペイロード、WPF詐欺オーバーレイ、自己増殖型WhatsAppおよびOutlookワームモジュールを備えたブラジルのバンキング型トロイの木馬であるTCLBANKERをデプロイします。
理解のコスト:LLM主導のリバースエンジニアリング vs. 反復的なLLM難読化
Elastic Security Labsは、LLM(論理言語管理)を用いたリバースエンジニアリングと難読化の間で繰り広げられている、絶え間ない軍拡競争について考察する。
内部
すべて表示
Linuxに夢中:ルートキット検出エンジニアリング
全2回シリーズの第2回となる本稿では、Linuxのルートキット検出技術について、静的検出への依存の限界と、ルートキットの挙動検出の重要性に焦点を当てて解説します。
SYSTEMへのパッチ差分
この調査では、LLM とパッチ比較を活用して、Windows DWM の Use-After-Free の脆弱性について詳細に説明し、低い権限のユーザー権限から SYSTEM へのエスカレーションを実現する信頼性の高いエクスプロイトを実証しています。
不変の幻想:クラウドファイルでカーネルを乗っ取る
脅威の攻撃者は、ある種の脆弱性を悪用してセキュリティ制限を回避し、信頼チェーンを破壊する可能性があります。
FlipSwitch: 新しいシステムコールフック技術
FlipSwitch は、Linux カーネル防御の回避について新たな視点を提供し、サイバー攻撃者と防御者の間で繰り広げられている戦いにおける新しい手法を明らかにしています。
脅威インテリジェンス
すべて表示Entra IDとGoogle WorkspaceにおけるTycoon 2FA AiTM攻撃の検出
Tycoon 2FAは、Entra IDとGoogle WorkspaceのMFAをバイパスします。弊社では、両プラットフォームにわたるテレメトリのフィンガープリントをマッピングし、両ティアの検出ルールを出荷し、Elastic Workflowsを使用してインシデントを 10 秒未満で封じ込めます。
PHANTOMPULSE:ハイジャック可能なブロックチェーンC2 RATの構造
Elastic Security Labsは、REF6598侵入セットを通じて暗号通貨業界の被害者に拡散された、長期間存続するRATであるPHANTOMPULSEの詳細なリバースエンジニアリング分析を発表します。
TCLBANKER:ブラジル発の銀行トロイの木馬がWhatsAppとOutlookを介して拡散
REF3076は、トロイの木馬化されたLogitechインストーラーを使用して、環境制御型ペイロード、WPF詐欺オーバーレイ、自己増殖型WhatsAppおよびOutlookワームモジュールを備えたブラジルのバンキング型トロイの木馬であるTCLBANKERをデプロイします。
金庫の中のファントム:オブシディアンがファントムパルスRATを配信するために悪用される
Elastic Security Labsは、人気の高いメモアプリであるObsidianの正規コミュニティプラグインエコシステムを悪用する、新たなソーシャルエンジニアリング攻撃を発見した。我々がREF6598として追跡しているこのキャンペーンは、LinkedInとTelegram上で巧妙なソーシャルエンジニアリングを用いて、金融および仮想通貨業界の個人を標的にしている。
機械学習
すべて表示
新しいKibana統合によるドメイン生成アルゴリズム(DGA)アクティビティの検出
Kibana の Integrations アプリに DGA 検出パッケージを追加しました。 1 回のクリックで、DGA モデルと、取り込みパイプライン構成、異常検出ジョブ、検出ルールなどの関連アセットをインストールして使用を開始できます。
マルウェアへのセキュリティ保護の迅速な対応を自動化
機械学習モデルの助けを借りて、新しい情報に応じて迅速に更新を行い、それらの保護をユーザーに伝えるプロセスをどのように改善してきたかをご覧ください。
新しいElastic統合によるLiving-off-the-land攻撃の検出
Kibana の統合アプリに Living off the land (LotL) 検出パッケージを追加しました。1 回のクリックで、ProblemChild モデルと、異常検出構成や検出ルールなどの関連アセットをインストールして使用を開始できます。
Elasticを使用したビーコンマルウェアの特定
このブログでは、ビーコン識別フレームワークを使用して、ユーザーの環境内のビーコン マルウェアを識別する手順を説明します。
生成AI
すべて表示
脆弱性レポートからCVEドラフトまで数分で:ElasticがAIでセキュリティアドバイザリを自動化する方法
How Elastic's security team built an AI agent with RAG against MITRE's CWE and CAPEC catalogues to draft CVE advisories from raw vulnerability reports, including the full prompt and crawler configs.
Elastic Security MCPアプリ:AIツール内でのインタラクティブなセキュリティ操作
Elastic Securityは、AIツールにインタラクティブなユーザーインターフェースを搭載した最初のセキュリティベンダーです。アラートのトリアージ、脅威の特定、攻撃チェーンの関連付け、ケースの開設など、すべてAIとの会話内で行えます。
ElasticのOTelを使用してClaude Code/Coworkを大規模に監視
Elasticの情報セキュリティチームが、Claude CodeとClaude CoworkのネイティブOTelエクスポート機能とElasticのOTel取り込みインフラストラクチャを使用して、監視パイプラインを構築した方法。
理解のコスト:LLM主導のリバースエンジニアリング vs. 反復的なLLM難読化
Elastic Security Labsは、LLM(論理言語管理)を用いたリバースエンジニアリングと難読化の間で繰り広げられている、絶え間ない軍拡競争について考察する。
ツール
すべて表示CI/CDパイプラインの悪用:誰も注目していない問題
GitHub Actions、GitLab CI、Azure DevOpsパイプラインにおけるCI/CDの不正利用を検出するために、シグナル抽出とLLM推論を利用した、オープンソースでそのまま導入可能なCIテンプレートをどのように構築したか。
WinVisor – Windows x64のユーザーモード実行ファイルを目的としたハイパーバイザーベースのエミュレーター
WinVisor は、Windows x64 ユーザーモード実行可能ファイルのためのハイパーバイザーベースのエミュレーターで、Windows Hypervisor Platform API を利用して、システムコールのログ記録とメモリのイントロスペクションを可能にする仮想化環境を提供します。
STIX的シチュエーション:脅威データのエスケープ
構造化された脅威データは通常、STIXを使用してフォーマットされます。このデータをElasticsearchに取り込むために、STIXをECS形式に変換してスタックに取り込む、Pythonスクリプトをリリースします。
名前付きパイプで夜通し踊る - PIPEDANCEクライアントリリース
この資料では、このクライアント アプリケーションの機能と、ツールの使用を開始する方法について説明します。