Elastic Security Labs의 주요 위협 연구
2025 Elastic 글로벌 위협 보고서는 실제 원격 분석을 통해 도출된 공격자 동향과 방어자 전략에 대한 최신 인사이트를 제공합니다.
주요
탐지 엔지니어링
모두 보기
이상하게 변형된 인증코드 서명 조사하기
모호한 오류 코드부터 문서화되지 않은 커널 루틴에 이르기까지 Windows Authenticode 유효성 검사 실패를 추적하는 심층 조사.
쉘터 이용: 야생에서 악용되는 상업적 회피 프레임워크
Elastic Security Labs는 최근 불법적으로 획득한 상용 우회 프레임워크 버전인 SHELLTER를 사용해 익스플로잇 후 페이로드를 배포하는 인포스틸러의 출현을 탐지했습니다.
Microsoft Entra ID OAuth 피싱 및 탐지
이 문서에서는 Microsoft Entra ID의 OAuth 피싱 및 토큰 기반 악용에 대해 살펴봅니다. 로그인 활동 중 토큰, 범위, 디바이스 동작에 대한 에뮬레이션 및 분석을 통해 방어자가 OAuth 오용을 탐지하고 추적하는 데 사용할 수 있는 충실도 높은 신호를 파악합니다.
잘못된 행동 양식: 기술이 아닌 도구 탐지
실행 양식의 개념과 양식 중심 탐지가 행동 중심 탐지를 어떻게 보완할 수 있는지 살펴봅니다.
Malware 분석
모두 보기
미미크랫: 손상된 합법적인 웹사이트를 통해 맞춤형 RAT를 전달하는 클릭픽스 캠페인
Elastic Security Labs는 손상된 합법적인 사이트를 사용하여 악성 C2, 토큰 도용, SOCKS5 터널링이 포함된 맞춤형 네이티브 C RAT인 MIMICRAT으로 끝나는 5단계 체인을 제공하는 ClickFix 캠페인을 발견했습니다.
뼛속까지 BADIIS: 글로벌 SEO 중독 캠페인에 대한 새로운 인사이트
2025년 11월, Elastic 보안 연구소는 동남아시아에 기반을 둔 다국적 조직에 영향을 미치는 침입을 관찰했습니다. 이 활동을 분석하는 동안 저희 팀은 다른 업계에서 발표한 내용과 일치하는 다양한 침해 후 기법과 BADIIS 멀웨어를 Windows 웹 서버에 배포하는 데 사용되는 툴링을 관찰했습니다.
나노레모트, 파이널드래프트의 사촌동생
저희가 나노레모트라고 부르는 완전한 기능을 갖춘 백도어는 REF7707에 설명된 멀웨어와 특징을 공유하며, 파이널드래프트 임플란트와 유사합니다.
로닝로더: 드래곤브레스에서 PPL 남용을 막는 새로운 방법
엘라스틱 시큐리티 랩에서 DragonBreath의 업데이트된 gh0st RAT 변종을 배포하는 다단계 로더인 RONINGLOADER를 발견했습니다. 이 캠페인은 서명된 드라이버, 스레드 풀 주입, PPL 남용을 무기화하여 Defender를 비활성화하고 중국 EDR 도구를 회피합니다.
내부
모두 보기
불변의 환상: 클라우드 파일로 커널 탈취하기
위협 행위자는 보안 제한을 우회하고 신뢰 체인을 깨기 위해 취약성 클래스를 악용할 수 있습니다.
플립스위치: 새로운 시스콜 후킹 기술
FlipSwitch는 Linux 커널 방어를 우회하는 새로운 방법을 제시하여 사이버 공격자와 방어자 간의 지속적인 전투에서 새로운 기술을 공개합니다.
이상하게 변형된 인증코드 서명 조사하기
모호한 오류 코드부터 문서화되지 않은 커널 루틴에 이르기까지 Windows Authenticode 유효성 검사 실패를 추적하는 심층 조사.
통화 스택: 더 이상 멀웨어에 대한 무임승차 금지
콜 스택이 맬웨어 탐지에 가져다주는 엄청난 가치와 아키텍처적 한계에도 불구하고 Elastic이 이를 중요한 Windows 엔드포인트 원격 분석으로 간주하는 이유에 대해 알아보세요.
위협 인텔리전스
모두 보기쉘터 이용: 야생에서 악용되는 상업적 회피 프레임워크
Elastic Security Labs는 최근 불법적으로 획득한 상용 우회 프레임워크 버전인 SHELLTER를 사용해 익스플로잇 후 페이로드를 배포하는 인포스틸러의 출현을 탐지했습니다.
남미에서 동남아시아까지: REF7707의 취약한 웹
REF7707은 새로운 멀웨어 제품군을 사용하여 남미 외무부를 표적으로 삼았습니다. 일관성 없는 회피 전술과 운영상의 보안 실수로 인해 공격자 소유의 인프라가 추가로 노출되었습니다.
봇 활용: Linux 악성코드, 암호화폐 채굴 및 도박 API 악용 조사
REF6138 캠페인은 암호화폐 채굴, DDoS 공격, 그리고 도박 API를 통한 잠재적 자금 세탁을 포함하며, 공격자들이 진화하는 악성코드와 은밀한 통신 채널을 사용한다는 점을 강조했습니다.
북한의 침입 코드: Python으로 무장한 네트워크 공격 사례
이 글은 북한이 Python과 정교하게 설계된 사회 공학을 전략적으로 활용하는 방법을 다룹니다. 이를 통해 그들이 효과적인 진화된 사이버 공격으로 고도로 안전한 네트워크를 어떻게 침투하는지를 조명합니다.
Machine Learning
모두 보기
새로운 Kibana 통합으로 도메인 생성 알고리즘(DGA) 활동 감지하기
Kibana의 통합 앱에 DGA 탐지 패키지를 추가했습니다. 클릭 한 번으로 수집 파이프라인 구성, 이상 징후 탐색 작업, 탐색 규칙을 포함한 DGA 모델과 관련 자산을 설치하고 사용할 수 있습니다.
악성코드에 대한 신속한 대응을 위한 보안 보호 자동화
새로운 정보에 대응하여 신속하게 업데이트하고 이러한 보호 기능을 사용자에게 전파하는 프로세스를 머신러닝 모델의 도움으로 어떻게 개선해왔는지 알아보세요.
새로운 Elastic 통합으로 살아있는 공격 탐지하기
Kibana의 통합 앱에 현지 생활(LotL) 탐지 패키지를 추가했습니다. 클릭 한 번으로 이상 징후 탐지 구성 및 탐지 규칙을 포함한 ProblemChild 모델 및 관련 에셋을 설치하고 사용할 수 있습니다.
Elastic을 사용하여 비콘 악성코드 식별하기
이 블로그에서는 비콘 식별 프레임워크를 사용하여 사용자 환경에서 비콘 멀웨어를 식별하는 방법을 안내합니다.
생성형 AI
모두 보기
MCP 도구: 자율 에이전트를 위한 공격 벡터 및 방어 권장 사항
이 연구에서는 MCP(모델 컨텍스트 프로토콜) 도구가 자율 에이전트의 공격 표면을 확장하는 방법을 살펴보고 툴 포이즈닝, 오케스트레이션 주입, 러그풀 재정의와 같은 익스플로잇 벡터를 실제 방어 전략과 함께 자세히 설명합니다.
에이전트 프레임워크 요약
에이전트 시스템에서는 보안 팀이 자율성과 조정의 균형을 유지하여 AI 에이전트가 독립적으로 행동하면서도 목표에 부합하고 제어 가능한 상태를 유지할 수 있도록 해야 합니다.
Elastic, 표준화된 필드와 통합으로 LLM 보안 강화
표준화된 필드 통합과 향상된 탐지 기능에 중점을 두는 Elastic의 LLM 보안 분야 최신 발전에 대해 알아보세요. 이러한 표준을 채택하여 시스템을 보호하는 방법을 확인해 보세요.
Elastic의 선제적 접근: LLM 워크플로우에 보안을 내재화
대규모 언어 모델(LLM)에 보안을 직접 내재화하는 Elastic의 탐구에 대해 알아보세요. LLM 애플리케이션에서 주요 OWASP 취약점을 탐지하고 완화하기 위한 전략을 살펴보세요. 이를 통해 더 안전하고 보안이 강화된 AI 기반 애플리케이션을 구현할 수 있습니다.
도구
모두 보기
WinVisor - Windows x64 사용자 모드 실행 파일을 위한 하이퍼바이저 기반 에뮬레이터
WinVisor는 Windows x64 사용자 모드 실행 파일을 위한 하이퍼바이저 기반 에뮬레이터로, Windows Hypervisor Platform API를 활용하여 시스템 호출을 로깅하고 메모리 검사를 가능하게 하는 가상화된 환경을 제공합니다.
STIXy 상황: ECS로 위협 데이터 최적화
구조화된 위협 데이터는 일반적으로 STIX 형식으로 작성됩니다. 이 데이터를 Elasticsearch에 가져올 수 있도록 STIX를 ECS 형식으로 변환하여 스택에 수집할 수 있는 파이썬 스크립트를 배포하고 있습니다.
네임드 파이프로 밤새도록 춤추기 - PIPEDANCE 클라이언트 릴리스
이 게시글에서는 이 클라이언트 애플리케이션의 기능과 도구를 시작하는 방법에 대해 설명합니다.
Detonate를 활용한 자동화된 보호 테스트
프로세스를 자동화하고 대규모로 보호 기능을 테스트하기 위해 Detonate를 구축했습니다. 이 시스템은 보안 연구 엔지니어들이 Elastic Security 솔루션의 효율성을 자동으로 측정하는 데 사용됩니다.