トピック

内部

配信を受け取る

FlipSwitch は、Linux カーネル防御の回避について新たな視点を提供し、サイバー攻撃者と防御者の間で繰り広げられている戦いにおける新しい手法を明らかにしています。

プレースホルダー画像
謎の不正な形式の Authenticode 署名の調査

謎の不正な形式の Authenticode 署名の調査

不明瞭なエラー コードから文書化されていないカーネル ルーチンまで、Windows Authenticode 検証エラーを追跡する詳細な調査。

コールスタック:マルウェアの無料パスはもうありません

コールスタック:マルウェアの無料パスはもうありません

コールスタックがマルウェア検知にもたらす計り知れない価値と、アーキテクチャ上の制限にもかかわらず、Elasticがコールスタックを重要なWindowsエンドポイントテレメトリーと見なしている理由を探ります。

誤動作のモダリティ: 手法ではなくツールの検出

誤動作のモダリティ: 手法ではなくツールの検出

実行モダリティの概念と、モダリティに焦点を当てた検出が行動に焦点を当てた検出をどのように補完できるかを探ります。

未公開のカーネルデータ構造を使用したホットキー型キーロガーの検出

未公開のカーネルデータ構造を使用したホットキー型キーロガーの検出

この記事では、ホットキーベースのキーロガーとは何か、そしてそれを検出する方法を探ります。具体的には、これらのキーロガーがキーストロークを傍受する方法を説明し、カーネル空間の未公開ホットキーテーブルを利用する検出技術を紹介します。

未公開のカーネルデータ構造を使ったホットキー型キーロガーの検知

未公開のカーネルデータ構造を使ったホットキー型キーロガーの検知

本記事では、ホットキー型キーロガーとは何かについてと、その検知方法について紹介します。具体的には、ホットキー型キーロガーがどのようにしてキー入力を盗み取るのかを解説した後、カーネルレベルに存在する未公開(Undocumented)のホットキーテーブルを活用した検知手法について説明します。

スマートアプリコントロールを解体

スマートアプリコントロールを解体

この記事では、レピュテーションベースのシステムへのバイパスを調査するためのケーススタディとして、Windows Smart App ControlとSmartScreenについて説明し、それらの弱点をカバーする検出方法を説明します。

新しい脆弱性クラスの導入: False File Immutability

新しい脆弱性クラスの導入: False File Immutability

この資料では、以前は名前がなかった Windows の脆弱性のクラスを紹介し、仮定の危険性を示し、意図しないセキュリティ上の結果について説明します。

GrimResource - 初期アクセスと回避のためのMicrosoft管理コンソール

GrimResource - 初期アクセスと回避のためのMicrosoft管理コンソール

Elasticの研究者は、特別に細工されたMSCファイルを介して完全なコード実行を可能にする新しい手法、GrimResourceを発見しました。これは、十分なリソースを持つ攻撃者が、防御を回避するために革新的な初期アクセス方法を好む傾向を浮き彫りにしています。

ダブリング ダウン: カーネル ETW 呼び出し履歴を使用したメモリ内脅威の検出

ダブリング ダウン: カーネル ETW 呼び出し履歴を使用したメモリ内脅威の検出

Elasticセキュリティ8.11では、カーネルテレメトリーコールスタックベースの検出機能をさらに追加し、インメモリの脅威に対する有効性を高めました。

マイクロソフトのPPLFaultを殺す計画の内部

マイクロソフトのPPLFaultを殺す計画の内部

この調査出版物では、マルウェアがマルウェア対策プロセスやその他の重要なセキュリティ機能を改ざんするのを困難にする、Windows Code Integrityサブシステムの今後の改善について説明します。

コールスタックでカーテンをはがす

コールスタックでカーテンをはがす

この記事では、ルールとイベントをコンテキスト化する方法と、呼び出し履歴を活用して環境内で発生するアラートをより深く理解する方法について説明します。

賭け金を引き上げる: カーネル コール スタックによるインメモリ脅威の検出

賭け金を引き上げる: カーネル コール スタックによるインメモリ脅威の検出

私たちは、敵対者を凌駕し、最先端の攻撃者の手口に対する保護を維持することを目指しています。 Elasticセキュリティ8.8では、カーネルコールスタックベースの新しい検出機能が追加され、インメモリの脅威に対する有効性が向上しました。

効果的な親子関係 - LRPCベースの親PIDスプーフィングの検出

効果的な親子関係 - LRPCベースの親PIDスプーフィングの検出

この研究では、プロセス作成をケーススタディとして、これまでの回避検出の軍拡競争を概説し、現在の検出アプローチの弱点を説明し、LRPCベースの回避に対する一般的なアプローチの探求を追う。

Stopping Vulnerable Driver Attacks

Stopping Vulnerable Driver Attacks

This post includes a primer on kernel mode attacks, along with Elastic’s recommendations for securing users from kernel attacks leveraging vulnerable drivers.

楽しく利益のためにマルウェア対策製品をサンドボックス化する

楽しく利益のためにマルウェア対策製品をサンドボックス化する

この記事では、攻撃者がマルウェア対策製品をさまざまな形態の攻撃から保護する Windows セキュリティ メカニズムをバイパスできる欠陥を示しています。

影に真実を見つける

影に真実を見つける

ここでは、Hardware Stack Protectionsが意図したエクスプロイト軽減機能以外にもたらす3つの利点について説明し、いくつかの制限について説明します。

Get-InjectedThreadEx – スレッド作成トランポリンの検出

Get-InjectedThreadEx – スレッド作成トランポリンの検出

このブログでは、プロセストランポリンの 4 つのクラスのそれぞれを検出し、更新された PowerShell 検出スクリプト (Get-InjectedThreadEx) をリリースする方法を示します

TTDエコシステムの深堀り

TTDエコシステムの深堀り

これは、マイクロソフトが開発したタイム トラベル デバッグ (TTD) テクノロジに焦点を当てたシリーズの第 1 回で、最近の独立した調査期間中に詳細に調査されました。

インメモリ .NET 攻撃のハンティング

インメモリ .NET 攻撃のハンティング

私の DerbyCon プレゼンテーションのフォローアップとして、この記事では、.NETベースのインメモリ技術で検出を回避