Elastic Security Labs Threat Command의 주요 위협 연구
TELEPUZ is a modular malware that emerged through CLICKFIX-VIDAR attacks in April. We reverse-engineered it to show you the infrastructure and evasion techniques that matter.
주요




탐지 엔지니어링
모두 보기
Elastic InfoSec의 에이전트 기반 SOC 내부: 경고 분류 시간을 30 분에서 3분 미만으로 단축
Elastic의 정보 보안 팀은 Elastic Workflows를 기반으로 모든 경고를 조사하고 분석가가 사건을 열기 전에 사례를 구성하는 AI 에이전트를 구축했습니다.

Azure AD Graph 활동 로그: 가시성 격차 해소를 위한 데이터 수집 및 위협 탐지
Azure AD Graph 활동 로그는 완전한 ECS 파싱을 거쳐 Elasticsearch에 저장됩니다. ROADrecon 및 AADInternals 열거를 감지하는 데 바로 사용할 수 있는 감지 규칙을 제공합니다.

엔트라 ID와 구글 워크스페이스에서 타이쿤 2FA AiTM 공격 탐지하기
타이쿤 2FA는 엔트라 ID 및 구글 워크스페이스에서 MFA를 우회합니다. 두 플랫폼에 걸쳐 원격 분석 지문을 매핑하고, 두 계층에 대한 탐지 규칙을 전송하며, Elastic Workflow를 통해 10 초 이내에 인시던트를 억제합니다.

복사 실패 및 더티프래그: Linux 페이지 캐시 버그
이 연구는 미묘한 페이지 캐시 손상 버그를 악용하여 루트 액세스에 대한 안정적인 경로를 생성하는 Linux 커널 권한 상승 취약점인 Copy Fail과 DirtyFrag를 분석합니다. 또한 Elastic Security Labs는 이러한 취약점에 대한 탐지 로직을 공개하고 있습니다.
Malware 분석
모두 보기
TELEPUZ: a modular MaaS malware spreading via CLICKFIX-VIDAR chains
TELEPUZ is a modular malware that emerged through CLICKFIX-VIDAR attacks in April. We reverse-engineered it to show you the infrastructure and evasion techniques that matter.

ClickFix에서 현금 인출까지: 멕시코 은행 사기 수법의 실상 분석
Elastic Security Labs는 멕시코 은행, 핀테크 기업, 결제 처리 업체 및 암호화폐 거래소 고객을 대상으로 하는 운영자 지원 은행 사기 조직인 REF6045를 추적하고 있습니다.

이전 과정에서 길을 잃다: 새로운 로더를 배포하는 CASTLESTEALER에 대한 분석
새로운 난독화 로더가 .reloc을 사용하여 정적 탐지를 회피하는 방법을 알아보세요. 섹션 악용, 5가지 안티 VM/언어 검사 및 MBA 난독화를 통해 Google Ads를 통해 정보 탈취 악성코드를 유포합니다.

PHANTOMPULSE: 해킹 가능한 블록체인 기반 C2 RAT의 구조 분석
Elastic Security Labs는 REF6598 침입 세트를 통해 암호화폐 업계 피해자들에게 유포된 장기 활동형 RAT인 PHANTOMPULSE에 대한 상세한 리버스 엔지니어링 분석 결과를 발표합니다.
내부
모두 보기
Linux에 매료되었습니다: 루트킷 탐지 엔지니어링
2부로 구성된 이 시리즈의 두 번째 파트에서는 정적 탐지 의존의 한계와 루트킷 동작 탐지의 중요성에 초점을 맞춰 Linux 루트킷 탐지 엔지니어링에 대해 살펴봅니다.

시스템과 패치 차이점
이 연구는 LLM과 패치 디핑을 활용하여 낮은 권한의 사용자 권한에서 시스템으로 에스컬레이션을 달성하는 안정적인 익스플로잇을 보여주는 Windows DWM의 사용 후 무료 취약점을 자세히 설명합니다.

불변의 환상: 클라우드 파일로 커널 탈취하기
위협 행위자는 보안 제한을 우회하고 신뢰 체인을 깨기 위해 취약성 클래스를 악용할 수 있습니다.

플립스위치: 새로운 시스콜 후킹 기술
FlipSwitch는 Linux 커널 방어를 우회하는 새로운 방법을 제시하여 사이버 공격자와 방어자 간의 지속적인 전투에서 새로운 기술을 공개합니다.
위협 인텔리전스
모두 보기
ClickFix에서 현금 인출까지: 멕시코 은행 사기 수법의 실상 분석
Elastic Security Labs는 멕시코 은행, 핀테크 기업, 결제 처리 업체 및 암호화폐 거래소 고객을 대상으로 하는 운영자 지원 은행 사기 조직인 REF6045를 추적하고 있습니다.

엔트라 ID와 구글 워크스페이스에서 타이쿤 2FA AiTM 공격 탐지하기
타이쿤 2FA는 엔트라 ID 및 구글 워크스페이스에서 MFA를 우회합니다. 두 플랫폼에 걸쳐 원격 분석 지문을 매핑하고, 두 계층에 대한 탐지 규칙을 전송하며, Elastic Workflow를 통해 10 초 이내에 인시던트를 억제합니다.

PHANTOMPULSE: 해킹 가능한 블록체인 기반 C2 RAT의 구조 분석
Elastic Security Labs는 REF6598 침입 세트를 통해 암호화폐 업계 피해자들에게 유포된 장기 활동형 RAT인 PHANTOMPULSE에 대한 상세한 리버스 엔지니어링 분석 결과를 발표합니다.

TCLBANKER: WhatsApp 및 Outlook을 통해 확산되는 브라질 뱅킹 트로이목마
REF3076은 트로이 목마화된 로지텍 설치 프로그램을 사용하여 환경 게이트 페이로드, WPF 사기 오버레이, 자체 전파되는 WhatsApp 및 Outlook 웜 모듈이 있는 브라질 뱅킹 트로이 목마 TCLBANKER를 배포합니다.
Machine Learning
모두 보기
새로운 Kibana 통합으로 도메인 생성 알고리즘(DGA) 활동 감지하기
Kibana의 통합 앱에 DGA 탐지 패키지를 추가했습니다. 클릭 한 번으로 수집 파이프라인 구성, 이상 징후 탐색 작업, 탐색 규칙을 포함한 DGA 모델과 관련 자산을 설치하고 사용할 수 있습니다.

악성코드에 대한 신속한 대응을 위한 보안 보호 자동화
새로운 정보에 대응하여 신속하게 업데이트하고 이러한 보호 기능을 사용자에게 전파하는 프로세스를 머신러닝 모델의 도움으로 어떻게 개선해왔는지 알아보세요.

새로운 Elastic 통합으로 살아있는 공격 탐지하기
Kibana의 통합 앱에 현지 생활(LotL) 탐지 패키지를 추가했습니다. 클릭 한 번으로 이상 징후 탐지 구성 및 탐지 규칙을 포함한 ProblemChild 모델 및 관련 에셋을 설치하고 사용할 수 있습니다.
Elastic을 사용하여 비콘 악성코드 식별하기
이 블로그에서는 비콘 식별 프레임워크를 사용하여 사용자 환경에서 비콘 멀웨어를 식별하는 방법을 안내합니다.
생성형 AI
모두 보기
Elastic InfoSec의 에이전트 기반 SOC 내부: 경고 분류 시간을 30 분에서 3분 미만으로 단축
Elastic의 정보 보안 팀은 Elastic Workflows를 기반으로 모든 경고를 조사하고 분석가가 사건을 열기 전에 사례를 구성하는 AI 에이전트를 구축했습니다.

취약점 보고서부터 CVE 초안까지 단 몇 분 만에: Elastic이 AI를 활용하여 보안 권고 사항을 자동화하는 방법
Elastic의 보안 팀이 MITRE의 CWE 및 CAPEC 카탈로그를 대상으로 RAG를 사용하여 AI 에이전트를 구축하고, 원시 취약점 보고서에서 CVE 권고문을 작성하는 방법을 전체 프롬프트 및 크롤러 구성과 함께 공개합니다.

Elastic Security MCP 앱: AI 도구 내부의 대화형 보안 운영
Elastic Security는 AI 도구에 대화형 UI를 제공하는 최초의 보안 벤더입니다. AI 대화 내에서 알림을 분류하고, 위협을 추적하고, 공격 체인 및 미해결 사례를 상호 연관시킬 수 있습니다.

Elastic의 OTel을 사용하여 대규모로 클로드 코드/코워크를 모니터링하기
Elastic의 InfoSec 팀이 기본 OTel 내보내기 기능과 Elastic의 OTel 수집 인프라를 사용해 Claude Code와 Claude Cowork를 위한 모니터링 파이프라인을 구축한 방법.
도구
모두 보기
CI/CD 파이프라인 남용: 아무도 보고 있지 않은 문제
신호 추출 및 LLM 추론을 사용하여 GitHub Actions, GitLab CI 및 Azure DevOps 파이프라인에서 CI/CD 남용을 포착하는 오픈 소스 드롭인 CI 템플릿을 구축한 방법을 알아보세요.

WinVisor - Windows x64 사용자 모드 실행 파일을 위한 하이퍼바이저 기반 에뮬레이터
WinVisor는 Windows x64 사용자 모드 실행 파일을 위한 하이퍼바이저 기반 에뮬레이터로, Windows Hypervisor Platform API를 활용하여 시스템 호출을 로깅하고 메모리 검사를 가능하게 하는 가상화된 환경을 제공합니다.

STIXy 상황: ECS로 위협 데이터 최적화
구조화된 위협 데이터는 일반적으로 STIX 형식으로 작성됩니다. 이 데이터를 Elasticsearch에 가져올 수 있도록 STIX를 ECS 형식으로 변환하여 스택에 수집할 수 있는 파이썬 스크립트를 배포하고 있습니다.

네임드 파이프로 밤새도록 춤추기 - PIPEDANCE 클라이언트 릴리스
이 게시글에서는 이 클라이언트 애플리케이션의 기능과 도구를 시작하는 방법에 대해 설명합니다.
