来自 Elastic Security Labs 的主要威胁研究
How Elastic's InfoSec team built a monitoring pipeline for Claude Code and Claude Cowork using their native OTel export capabilities and Elastic's OTel ingestion infrastructure.
精选
探测工程
查看全部
The Cost of Understanding: LLM-Driven Reverse Engineering vs Iterative LLM Obfuscation
Elastic Security Labs explores the ongoing arms race between LLM-driven reverse engineering and obfuscation.
利用高阶检测规则对警报进行优先分流
通过多信号相关性和高阶检测模式提高 SOC 效率。
我们是如何捕捉到 Axios 供应链攻击的
乔-德西蒙(Joe Desimone)分享了他如何利用一个下午就完成的概念验证工具抓住 Axios 供应链攻击的故事。
Inside the Axios supply chain compromise - one RAT to rule them all
弹性安全实验室分析了对提供统一跨平台 RAT 的 axios npm 软件包的供应链破坏情况
恶意软件分析
查看全部The Cost of Understanding: LLM-Driven Reverse Engineering vs Iterative LLM Obfuscation
Elastic Security Labs explores the ongoing arms race between LLM-driven reverse engineering and obfuscation.
金库中的幽灵黑曜石滥用提供幻影脉冲 RAT
弹性安全实验室(Elastic Security Labs)发现了一个新型社交工程活动,该活动滥用了流行的笔记应用程序 Obsidian 的合法社区插件生态系统。我们跟踪到的这个活动名为 REF6598,它通过在 LinkedIn 和 Telegram 上精心设计的社交工程,以金融和加密货币领域的个人为目标。
迷上 LinuxRootkit 检测工程
在本系列文章的第二部分,我们将探讨 Linux rootkit 检测工程,重点是静态检测的局限性和 rootkit 行为检测的重要性。
Inside the Axios supply chain compromise - one RAT to rule them all
弹性安全实验室分析了对提供统一跨平台 RAT 的 axios npm 软件包的供应链破坏情况
内部
查看全部迷上 LinuxRootkit 检测工程
在本系列文章的第二部分,我们将探讨 Linux rootkit 检测工程,重点是静态检测的局限性和 rootkit 行为检测的重要性。
差异补丁至 SYSTEM
本研究利用 LLM 和补丁差异,详细介绍了 Windows DWM 中的 "免费使用后 "漏洞,演示了一种可靠的漏洞利用方法,可将低权限用户的权限升级到 SYSTEM。
永恒不变的幻象用云文件攻克内核
威胁行为者可以滥用一类漏洞,绕过安全限制,打破信任链。
FlipSwitch:一种新颖的系统调用挂钩技术
FlipSwitch 提供了绕过 Linux 内核防御的全新视角,揭示了网络攻击者和防御者之间持续斗争中的一种新技术。
威胁情报
查看全部金库中的幽灵黑曜石滥用提供幻影脉冲 RAT
弹性安全实验室(Elastic Security Labs)发现了一个新型社交工程活动,该活动滥用了流行的笔记应用程序 Obsidian 的合法社区插件生态系统。我们跟踪到的这个活动名为 REF6598,它通过在 LinkedIn 和 Telegram 上精心设计的社交工程,以金融和加密货币领域的个人为目标。
Inside the Axios supply chain compromise - one RAT to rule them all
弹性安全实验室分析了对提供统一跨平台 RAT 的 axios npm 软件包的供应链破坏情况
Elastic 发布针对 Axios 供应链漏洞的检测程序
针对 Elastic 发现的 Axios 供应链漏洞的猎杀和检测规则。
Fake Installers to Monero: A Multi-Tool Mining Operation
Elastic Security Labs dissects a long-running operation deploying RATs, cryptominers, and CPA fraud through fake installer lures, tracking its evolution across campaigns and Monero payouts.
Machine Learning
查看全部
使用新的 Kibana 集成检测域生成算法 (DGA) 活动
我们已将 DGA 检测包添加到 Kibana 中的 Integrations 应用中。 只需单击一下,您就可以安装并开始使用 DGA 模型和相关资产,包括摄取管道配置、异常检测作业和检测规则。
自动安全保护快速响应恶意软件
看看我们是如何在机器学习模型的帮助下改进流程,使我们能够根据新信息快速做出更新,并将这些保护措施传播给我们的用户。
利用新的弹性集成检测 "离地生活 "攻击
我们在 Kibana 的 "集成 "应用程序中添加了 "离地生活"(LotL)检测包。只需单击一下,您就可以安装并开始使用 ProblemChild 模型和相关资产,包括异常检测配置和检测规则。
使用 Elastic 识别信标式恶意软件
在本博客中,我们将指导用户使用我们的信标识别框架识别其环境中的信标恶意软件。
生成式 AI
查看全部
Monitoring Claude Code/Cowork at scale with OTel in Elastic
How Elastic's InfoSec team built a monitoring pipeline for Claude Code and Claude Cowork using their native OTel export capabilities and Elastic's OTel ingestion infrastructure.
The Cost of Understanding: LLM-Driven Reverse Engineering vs Iterative LLM Obfuscation
Elastic Security Labs explores the ongoing arms race between LLM-driven reverse engineering and obfuscation.
从您的人工智能代理开始使用弹性安全功能
使用开源 Agent Skills,无需离开集成开发环境,即可从零开始创建一个完整的弹性安全环境。
MCP 工具:自主代理的攻击向量和防御建议
本研究探讨了模型上下文协议(MCP)工具如何扩大自主代理的攻击面,详细介绍了工具中毒、协调注入和毯拉重新定义等利用载体以及实用的防御策略。
工具
查看全部
WinVisor – 基于管理程序的模拟器,适用于 Windows x64 用户模式可执行文件
WinVisor 是一款基于管理程序的模拟器,适用于 Windows x64 用户模式可执行文件,它利用 Windows Hypervisor Platform API 提供虚拟化环境,用于记录系统调用并实现内存自省。
STIXy 情况:ECSaping 您的威胁数据
结构化威胁数据通常使用 STIX 进行格式化。为了帮助将这些数据导入 Elasticsearch,我们发布了一个 Python 脚本,可将 STIX 转换为 ECS 格式,以便导入到您的堆栈中。
使用命名管道彻夜跳舞 - PIPEDANCE 客户端发布
在本出版物中,我们将介绍该客户端应用程序的功能以及如何开始使用该工具。
咔嚓,咔嚓...砰!使用 Detonate 自动化保护测试
为了使这一过程自动化并大规模测试我们的保护措施,我们建立了 Detonate 系统,该系统供安全研究工程师使用,以自动化方式衡量我们的 Elastic 安全解决方案的功效。