Pesquisa primária sobre ameaças do Elastic Security Labs
8 Outubro 2025
O que o Relatório Global de Ameaças 2025 Elastic revela sobre o cenário de ameaças em evolução
O 2025 Elastic Global Threat Report fornece insights atuais sobre tendências de adversários e estratégias de defesa derivadas de telemetria do mundo real.
Em destaque
Engenharia de Detecção
Ver tudo
Investigando uma assinatura Authenticode misteriosamente malformada
Uma investigação aprofundada rastreando uma falha de validação do Windows Authenticode, desde códigos de erro vagos até rotinas de kernel não documentadas.
Tomando SHELLTER: uma estrutura de evasão comercial abusada na natureza
O Elastic Security Labs detectou o surgimento recente de infostealers usando uma versão adquirida ilicitamente da estrutura de evasão comercial, SHELLTER, para implantar cargas úteis pós-exploração.
Microsoft Entra ID OAuth Phishing e Detecções
Este artigo explora o phishing OAuth e o abuso baseado em token no Microsoft Entra ID. Por meio da emulação e análise de tokens, escopo e comportamento do dispositivo durante a atividade de login, revelamos sinais de alta fidelidade que os defensores podem usar para detectar e procurar por uso indevido do OAuth.
Modalidades de mau comportamento: Detectando ferramentas, não técnicas
Exploramos o conceito de Modalidade de Execução e como detecções focadas em modalidade podem complementar aquelas focadas em comportamento.
Análise de malware
Ver tudo
RONINGLOADER: O Novo Caminho do DragonBreath para o Abuso de PPL
O Elastic Security Labs descobre o RONINGLOADER, um carregador de múltiplas etapas que implementa a variante atualizada do RAT gh0st do DragonBreath. A campanha utiliza drivers assinados, injeção de threads e abuso de PPL como armas para desativar o Defender e burlar as ferramentas EDR chinesas.
PEDÁGIO: O que é seu, eu sou meu
O REF3927 abusa de chaves de máquina ASP.NET divulgadas publicamente para comprometer servidores IIS e implantar módulos de camuflagem de SEO TOLLBOOTH globalmente.
NightMARE na Rua 0xelm, uma visita guiada
Este artigo descreve o nightMARE, uma biblioteca baseada em Python para pesquisadores de malware que foi desenvolvida pelo Elastic Security Labs para ajudar a dimensionar a análise. Ele descreve como usamos o nightMARE para desenvolver extratores de configuração de malware e criar indicadores de inteligência.
WARMCOOKIE Um ano depois: novos recursos e novas percepções
Um ano depois: o Elastic Security Labs reexamina o backdoor WARMCOOKIE.
Internos
Ver tudo
FlipSwitch: uma nova técnica de conexão de chamadas de sistema
O FlipSwitch oferece uma nova visão sobre como contornar as defesas do kernel do Linux, revelando uma nova técnica na batalha contínua entre invasores e defensores cibernéticos.
Investigando uma assinatura Authenticode misteriosamente malformada
Uma investigação aprofundada rastreando uma falha de validação do Windows Authenticode, desde códigos de erro vagos até rotinas de kernel não documentadas.
Pilhas de Chamadas: Chega de Passe Livre para Malware
Exploramos o imenso valor que as pilhas de chamadas trazem para a detecção de malware e por que a Elastic as considera uma telemetria de endpoint vital do Windows, apesar das limitações arquitetônicas.
Modalidades de mau comportamento: Detectando ferramentas, não técnicas
Exploramos o conceito de Modalidade de Execução e como detecções focadas em modalidade podem complementar aquelas focadas em comportamento.
Inteligência de ameaças
Ver tudoTomando SHELLTER: uma estrutura de evasão comercial abusada na natureza
O Elastic Security Labs detectou o surgimento recente de infostealers usando uma versão adquirida ilicitamente da estrutura de evasão comercial, SHELLTER, para implantar cargas úteis pós-exploração.
Da América do Sul ao Sudeste Asiático: A frágil teia do REF7707
O REF7707 teve como alvo um Ministério das Relações Exteriores da América do Sul usando novas famílias de malware. Táticas de evasão inconsistentes e erros de segurança operacional expuseram infraestrutura adicional de propriedade do adversário.
Apostando em bots: investigando malwares, mineração de criptomoedas e abuso de APIs de jogos de azar para Linux
A campanha REF6138 envolveu criptomineração, ataques de DDoS e possível lavagem de dinheiro por meio de APIs de jogos de azar, destacando o uso de malware em evolução e canais de comunicação furtivos pelos atacantes.
Código de conduta: intrusões da RPDC alimentadas por Python em redes seguras
Investigando o uso estratégico do Python e da engenharia social cuidadosamente elaborada pela RPDC, esta publicação esclarece como eles violam redes altamente seguras com ataques cibernéticos eficazes e em evolução.
Machine Learning
Ver tudo
Detecte a atividade do algoritmo de geração de domínio (DGA) com a nova integração do Kibana
Adicionamos um pacote de detecção de DGA ao aplicativo Integrações no Kibana. Com um único clique, você pode instalar e começar a usar o modelo DGA e os ativos associados, incluindo configurações de pipeline de ingestão, trabalhos de detecção de anomalias e regras de detecção.
Automatizando a resposta rápida das proteções de segurança ao malware
Veja como temos aprimorado os processos que nos permitem fazer atualizações rapidamente em resposta a novas informações e propagar essas proteções aos nossos usuários, com a ajuda de modelos de aprendizado de máquina.
Detecção de ataques de exploração de recursos naturais com a nova integração elástica.
Adicionamos um pacote de detecção de Vida da Terra (LotL) ao aplicativo Integrações no Kibana. Com um único clique, você pode instalar e começar a usar o modelo ProblemChild e os ativos associados, incluindo configurações de detecção de anomalias e regras de detecção.
Identificando malware de beacon usando Elastic
Neste blog, orientamos os usuários na identificação de malware de beaconing em seu ambiente usando nossa estrutura de identificação de beaconing.
IA generativa
Ver tudo
Ferramentas MCP: Vetores de Ataque e Recomendações de Defesa para Agentes Autônomos
Esta pesquisa examina como as ferramentas do Model Context Protocol (MCP) expandem a superfície de ataque para agentes autônomos, detalhando vetores de exploração como envenenamento de ferramentas, injeção de orquestração e redefinições de rug-pull, juntamente com estratégias práticas de defesa.
Resumo das Estruturas Agentic
Os sistemas de agentes exigem que as equipes de segurança equilibrem a autonomia com o alinhamento, garantindo que os agentes de IA possam agir de forma independente, mantendo-se consistentes com os objetivos e controláveis.
A Elastic aprimora a segurança do LLM com campos e integrações padronizados
Descubra os últimos avanços da Elastic em segurança LLM, com foco em integrações de campo padronizadas e recursos aprimorados de detecção. Saiba como a adoção desses padrões pode proteger seus sistemas.
Incorporação de segurança em fluxos de trabalho LLM: Abordagem proativa da Elastic
Mergulhe na exploração da segurança incorporada pela Elastic diretamente em modelos de linguagem grande (LLMs). Descubra nossas estratégias para detectar e mitigar várias das principais vulnerabilidades do OWASP em aplicativos LLM, garantindo aplicativos orientados por IA mais seguros e protegidos.
Ferramentas
Ver tudo
WinVisor - Um emulador baseado em hipervisor para executáveis em modo de usuário do Windows x64
O WinVisor é um emulador baseado em hipervisor para executáveis em modo de usuário do Windows x64 que usa a API da Plataforma de Hipervisor do Windows para oferecer um ambiente virtualizado que registra chamadas de sistema e permite a introspecção de memória.
Situações STIXy: ECSaping seus dados de ameaças
Os dados estruturados de ameaças geralmente são formatados usando STIX. Para ajudar a colocar esses dados no Elasticsearch, estamos lançando um script Python que converte o STIX em um formato ECS para ser ingerido na sua pilha.
Dançando a noite toda com gaitas de fole nomeadas - comunicado ao cliente da PIPEDANCE
Nesta publicação, mostraremos a funcionalidade deste aplicativo cliente e como começar a usar a ferramenta.
Clique, clique… Boom! Automatizando testes de proteção com Detonate
Para automatizar esse processo e testar nossas proteções em grande escala, criamos o Detonate, um sistema usado por engenheiros de pesquisa de segurança para medir a eficácia de nossa solução Elastic Security de forma automatizada.