Categoria

Internos

30 Setembro 2025

FlipSwitch: uma nova técnica de conexão de chamadas de sistema

O FlipSwitch oferece uma nova visão sobre como contornar as defesas do kernel do Linux, revelando uma nova técnica na batalha contínua entre invasores e defensores cibernéticos.

4 Setembro 2025

Investigando uma assinatura Authenticode misteriosamente malformada

Uma investigação aprofundada rastreando uma falha de validação do Windows Authenticode, desde códigos de erro vagos até rotinas de kernel não documentadas.

12 Junho 2025

Pilhas de Chamadas: Chega de Passe Livre para Malware

Exploramos o imenso valor que as pilhas de chamadas trazem para a detecção de malware e por que a Elastic as considera uma telemetria de endpoint vital do Windows, apesar das limitações arquitetônicas.

15 Maio 2025

Modalidades de mau comportamento: Detectando ferramentas, não técnicas

Exploramos o conceito de Modalidade de Execução e como detecções focadas em modalidade podem complementar aquelas focadas em comportamento.

4 Março 2025

Detectando keyloggers baseados em teclas de atalho usando uma estrutura de dados não documentada do kernel

Neste artigo, exploramos o que são keyloggers baseados em teclas de atalho e como detectá-los. Especificamente, explicamos como esses keyloggers interceptam as teclas digitadas e, em seguida, apresentamos uma técnica de detecção que utiliza uma tabela de teclas de atalho não documentada no espaço do kernel.

4 Fevereiro 2025

未公開のカーネルデータ構造を使ったホットキー型キーロガーの検知

本記事では、ホットキー型キーロガーとは何かについてと、その検知方法について紹介します。具体的には、ホットキー型キーロガーがどのようにしてキー入力を盗み取るのかを解説した後、カーネルレベルに存在する未公開(Undocumented)のホットキーテーブルを活用した検知手法について説明します。

6 de agosto de 2024

Desmantelamento do Smart App Control

Este artigo explorará o Windows Smart App Control e o SmartScreen como um estudo de caso para pesquisar desvios para sistemas baseados em reputação e, em seguida, demonstrará detecções para cobrir essas fraquezas.

11 de julho de 2024

Apresentando uma nova classe de vulnerabilidade: False File Immutability

Este artigo apresenta uma classe de vulnerabilidade do Windows ainda sem nome que demonstra os perigos da suposição e descreve algumas consequências de segurança não intencionais.

22 junho 2024

GrimResource - Console de gerenciamento da Microsoft para acesso inicial e evasão

Pesquisadores da Elastic descobriram uma nova técnica, a GrimResource, que permite a execução completa do código por meio de arquivos MSC especialmente criados. Isso ressalta uma tendência de atacantes com bons recursos que favorecem métodos inovadores de acesso inicial para burlar as defesas.

9 Janeiro 2024

Dobrando a aposta: Detectando ameaças na memória com pilhas de chamadas ETW do kernel

Com o Elastic Security 8.11, adicionamos mais detecções baseadas em pilha de chamadas de telemetria do kernel para aumentar a eficácia contra ameaças na memória.

15 de setembro de 2023

Por dentro do plano da Microsoft para acabar com o PPLFault

Nesta publicação de pesquisa, aprenderemos sobre as próximas melhorias no subsistema de integridade de código do Windows que tornarão mais difícil para malware adulterar processos antimalware e outros recursos de segurança importantes.

13 de setembro de 2023

Desvendando a cortina com pilhas de chamadas

Neste artigo, mostraremos como contextualizamos regras e eventos e como você pode aproveitar pilhas de chamadas para entender melhor quaisquer alertas encontrados em seu ambiente.

31 de maio de 2023

Aumentando a aposta: Detectando ameaças na memória com pilhas de chamadas do kernel

Nosso objetivo é inovar mais do que os adversários e manter proteções contra as últimas tendências dos invasores. Com o Elastic Security 8.8, adicionamos novas detecções baseadas em pilha de chamadas do kernel, o que nos proporciona maior eficácia contra ameaças na memória.

29 de março de 2023

Parentalidade eficaz - detecção de falsificação de PID parental baseada em LRPC

Usando a criação de processos como estudo de caso, esta pesquisa delineará a corrida armamentista de detecção de evasão até o momento, descreverá as fraquezas em algumas abordagens de detecção atuais e, então, seguirá a busca por uma abordagem genérica para evasão baseada em LRPC.

1 de março de 2023

Stopping Vulnerable Driver Attacks

This post includes a primer on kernel mode attacks, along with Elastic’s recommendations for securing users from kernel attacks leveraging vulnerable drivers.

21 de fevereiro de 2023

Sandboxing de produtos antimalware para diversão e lucro

Este artigo demonstra uma falha que permite que invasores ignorem um mecanismo de segurança do Windows que protege produtos antimalware de várias formas de ataque.

26 de janeiro de 2023

Encontrando a verdade nas sombras

Vamos discutir três benefícios que as proteções de pilha de hardware trazem além da capacidade pretendida de mitigação de explorações e explicar algumas limitações.

7 de dezembro de 2022

Get-InjectedThreadEx – Detectando trampolins de criação de threads

Neste blog, demonstraremos como detectar cada uma das quatro classes de trampolim de processo e liberar um script de detecção do PowerShell atualizado – Get-InjectedThreadEx

30 de novembro de 2022

Mergulho profundo no ecossistema TTD

Este é o primeiro de uma série focada na tecnologia de Depuração de Viagem no Tempo (TTD) desenvolvida pela Microsoft e que foi explorada em detalhes durante um recente período de pesquisa independente.

21 de junho de 2022

Caçando ataques .NET na memória

Como continuação da minha apresentação na DerbyCon, esta postagem investigará uma tendência emergente de adversários usando técnicas de memória baseadas em .NET para evitar a detecção