Elastic Security Labsによる主な脅威の研究
Find out how Elastic Security ingests Google Threat Intelligence for continuous detection and uses AI-driven workflows to enrich alerts in real time, from API key to live detections in minutes.
トピック
検出工学
すべて表示
Entra IDとGoogle WorkspaceにおけるTycoon 2FA AiTM攻撃の検出
Tycoon 2FAは、Entra IDとGoogle WorkspaceのMFAをバイパスします。弊社では、両プラットフォームにわたるテレメトリのフィンガープリントをマッピングし、両ティアの検出ルールを出荷し、Elastic Workflowsを使用してインシデントを 10 秒未満で封じ込めます。
コピー失敗とダーティフラグ:Linuxページキャッシュのバグが現実世界で発生
本研究では、Linuxカーネルの権限昇格脆弱性であるCopy FailとDirtyFragを分析します。これらの脆弱性は、微妙なページキャッシュの破損バグを悪用して、root権限への確実なアクセス経路を作り出します。さらに、Elastic Security Labsはこれらの脆弱性に対する検出ロジックを公開する予定です。
CI/CDパイプラインの悪用:誰も注目していない問題
GitHub Actions、GitLab CI、Azure DevOpsパイプラインにおけるCI/CDの不正利用を検出するために、シグナル抽出とLLM推論を利用した、オープンソースでそのまま導入可能なCIテンプレートをどのように構築したか。
理解のコスト:LLM主導のリバースエンジニアリング vs. 反復的なLLM難読化
Elastic Security Labsは、LLM(論理言語管理)を用いたリバースエンジニアリングと難読化の間で繰り広げられている、絶え間ない軍拡競争について考察する。
マルウェア分析
すべて表示
PHANTOMPULSE: anatomy of a hijackable blockchain-C2 RAT
Elastic Security Labs presents a detailed reverse-engineering analysis of PHANTOMPULSE, the long-lived RAT delivered to crypto-sector victims through the REF6598 intrusion set.
TCLBANKER:ブラジル発の銀行トロイの木馬がWhatsAppとOutlookを介して拡散
REF3076は、トロイの木馬化されたLogitechインストーラーを使用して、環境制御型ペイロード、WPF詐欺オーバーレイ、自己増殖型WhatsAppおよびOutlookワームモジュールを備えたブラジルのバンキング型トロイの木馬であるTCLBANKERをデプロイします。
理解のコスト:LLM主導のリバースエンジニアリング vs. 反復的なLLM難読化
Elastic Security Labsは、LLM(論理言語管理)を用いたリバースエンジニアリングと難読化の間で繰り広げられている、絶え間ない軍拡競争について考察する。
金庫の中のファントム:オブシディアンがファントムパルスRATを配信するために悪用される
Elastic Security Labsは、人気の高いメモアプリであるObsidianの正規コミュニティプラグインエコシステムを悪用する、新たなソーシャルエンジニアリング攻撃を発見した。我々がREF6598として追跡しているこのキャンペーンは、LinkedInとTelegram上で巧妙なソーシャルエンジニアリングを用いて、金融および仮想通貨業界の個人を標的にしている。
内部
すべて表示
Linuxに夢中:ルートキット検出エンジニアリング
全2回シリーズの第2回となる本稿では、Linuxのルートキット検出技術について、静的検出への依存の限界と、ルートキットの挙動検出の重要性に焦点を当てて解説します。
SYSTEMへのパッチ差分
この調査では、LLM とパッチ比較を活用して、Windows DWM の Use-After-Free の脆弱性について詳細に説明し、低い権限のユーザー権限から SYSTEM へのエスカレーションを実現する信頼性の高いエクスプロイトを実証しています。
不変の幻想:クラウドファイルでカーネルを乗っ取る
脅威の攻撃者は、ある種の脆弱性を悪用してセキュリティ制限を回避し、信頼チェーンを破壊する可能性があります。
FlipSwitch: 新しいシステムコールフック技術
FlipSwitch は、Linux カーネル防御の回避について新たな視点を提供し、サイバー攻撃者と防御者の間で繰り広げられている戦いにおける新しい手法を明らかにしています。
脅威インテリジェンス
すべて表示Entra IDとGoogle WorkspaceにおけるTycoon 2FA AiTM攻撃の検出
Tycoon 2FAは、Entra IDとGoogle WorkspaceのMFAをバイパスします。弊社では、両プラットフォームにわたるテレメトリのフィンガープリントをマッピングし、両ティアの検出ルールを出荷し、Elastic Workflowsを使用してインシデントを 10 秒未満で封じ込めます。
PHANTOMPULSE: anatomy of a hijackable blockchain-C2 RAT
Elastic Security Labs presents a detailed reverse-engineering analysis of PHANTOMPULSE, the long-lived RAT delivered to crypto-sector victims through the REF6598 intrusion set.
TCLBANKER:ブラジル発の銀行トロイの木馬がWhatsAppとOutlookを介して拡散
REF3076は、トロイの木馬化されたLogitechインストーラーを使用して、環境制御型ペイロード、WPF詐欺オーバーレイ、自己増殖型WhatsAppおよびOutlookワームモジュールを備えたブラジルのバンキング型トロイの木馬であるTCLBANKERをデプロイします。
金庫の中のファントム:オブシディアンがファントムパルスRATを配信するために悪用される
Elastic Security Labsは、人気の高いメモアプリであるObsidianの正規コミュニティプラグインエコシステムを悪用する、新たなソーシャルエンジニアリング攻撃を発見した。我々がREF6598として追跡しているこのキャンペーンは、LinkedInとTelegram上で巧妙なソーシャルエンジニアリングを用いて、金融および仮想通貨業界の個人を標的にしている。
機械学習
すべて表示
新しいKibana統合によるドメイン生成アルゴリズム(DGA)アクティビティの検出
Kibana の Integrations アプリに DGA 検出パッケージを追加しました。 1 回のクリックで、DGA モデルと、取り込みパイプライン構成、異常検出ジョブ、検出ルールなどの関連アセットをインストールして使用を開始できます。
マルウェアへのセキュリティ保護の迅速な対応を自動化
機械学習モデルの助けを借りて、新しい情報に応じて迅速に更新を行い、それらの保護をユーザーに伝えるプロセスをどのように改善してきたかをご覧ください。
新しいElastic統合によるLiving-off-the-land攻撃の検出
Kibana の統合アプリに Living off the land (LotL) 検出パッケージを追加しました。1 回のクリックで、ProblemChild モデルと、異常検出構成や検出ルールなどの関連アセットをインストールして使用を開始できます。
Elasticを使用したビーコンマルウェアの特定
このブログでは、ビーコン識別フレームワークを使用して、ユーザーの環境内のビーコン マルウェアを識別する手順を説明します。
生成AI
すべて表示
Elastic Security MCPアプリ:AIツール内でのインタラクティブなセキュリティ操作
Elastic Securityは、AIツールにインタラクティブなユーザーインターフェースを搭載した最初のセキュリティベンダーです。アラートのトリアージ、脅威の特定、攻撃チェーンの関連付け、ケースの開設など、すべてAIとの会話内で行えます。
ElasticのOTelを使用してClaude Code/Coworkを大規模に監視
Elasticの情報セキュリティチームが、Claude CodeとClaude CoworkのネイティブOTelエクスポート機能とElasticのOTel取り込みインフラストラクチャを使用して、監視パイプラインを構築した方法。
理解のコスト:LLM主導のリバースエンジニアリング vs. 反復的なLLM難読化
Elastic Security Labsは、LLM(論理言語管理)を用いたリバースエンジニアリングと難読化の間で繰り広げられている、絶え間ない軍拡競争について考察する。
AIエージェントからElastic Securityを使い始めましょう
オープンソースのエージェントスキルを使用することで、IDEから離れることなく、ゼロから完全に構築されたElastic Security環境を構築できます。
ツール
すべて表示CI/CDパイプラインの悪用:誰も注目していない問題
GitHub Actions、GitLab CI、Azure DevOpsパイプラインにおけるCI/CDの不正利用を検出するために、シグナル抽出とLLM推論を利用した、オープンソースでそのまま導入可能なCIテンプレートをどのように構築したか。
WinVisor – Windows x64のユーザーモード実行ファイルを目的としたハイパーバイザーベースのエミュレーター
WinVisor は、Windows x64 ユーザーモード実行可能ファイルのためのハイパーバイザーベースのエミュレーターで、Windows Hypervisor Platform API を利用して、システムコールのログ記録とメモリのイントロスペクションを可能にする仮想化環境を提供します。
STIX的シチュエーション:脅威データのエスケープ
構造化された脅威データは通常、STIXを使用してフォーマットされます。このデータをElasticsearchに取り込むために、STIXをECS形式に変換してスタックに取り込む、Pythonスクリプトをリリースします。
名前付きパイプで夜通し踊る - PIPEDANCEクライアントリリース
この資料では、このクライアント アプリケーションの機能と、ツールの使用を開始する方法について説明します。