Investigación principal de amenazas de Elastic Security Labs
1 de octubre de 2024
Elastic publica el Reporte de amenazas globales 2024
Elastic Security Labs ha publicado el Reporte de amenazas globales de Elastic 2024 , que presenta las amenazas, tendencias y recomendaciones más apremiantes para ayudar a mantener a las organizaciones seguras durante el próximo año.
Destacado
Investigación de seguridad
Ver todo
Tomando SHELLTER: un marco de evasión comercial abusado en la práctica
Elastic Security Labs detectó la reciente aparición de ladrones de información que emplean una versión adquirida ilícitamente del marco de evasión comercial SHELLTER para implementar cargas útiles posteriores a la explotación.
Suplantación de identidad (phishing) y detecciones de Microsoft Entra ID OAuth
Este artículo explora el phishing de OAuth y el abuso basado en tokens en Microsoft Entra ID. A través de la emulación y el análisis de tokens, alcance y comportamiento del dispositivo durante la actividad de inicio de sesión, descubrimos señales de alta fidelidad que los defensores pueden usar para detectar y buscar el uso indebido de OAuth.
Pilas de llamadas: No más pases libres para el malware
Exploramos el inmenso valor que las pilas de llamadas aportan a la detección de malware y por qué Elastic las considera una telemetría vital para los puntos finales de Windows a pesar de las limitaciones arquitectónicas.
Modalidades de mal comportamiento: detección de herramientas, no de técnicas
Exploramos el concepto de modalidad de ejecución y cómo las detecciones centradas en la modalidad pueden complementar las centradas en el comportamiento.
Análisis de malware
Ver todo
Llamado de MaaS: Un ladrón de información resurge de las cenizas
NOVABLIGHT es un ladrón de información NodeJS desarrollado y vendido como una oferta MaaS; se emplea principalmente para robar credenciales y comprometer criptobilleteras.
Un cliente miserable: del engaño de ClickFix al despliegue de un ladrón de información
Elastic Security Labs detectó un aumento en las campañas de ClickFix, que emplean GHOSTPULSE para implementar troyanos de acceso remoto y malware que roba datos.
Persiguiendo remolinos: nuevo InfoStealer basado en Rust empleado en campañas CAPTCHA
Elastic Security Labs analiza EDDIESTEALER, un ladrón de información liviano y de productos básicos empleado en campañas emergentes basadas en CAPTCHA.
Desofuscando ALCATRAZ
Una exploración de las técnicas empleadas por el ofuscador ALCATRAZ.
Campañas
Ver todo
De Sudamérica al Sudeste Asiático: La frágil red de REF7707
REF7707 tenía como objetivo un Ministerio de Relaciones Exteriores de Sudamérica empleando nuevas familias de malware. Las tácticas de evasión inconsistentes y los errores de seguridad operacional expusieron infraestructura adicional propiedad del adversario.
PIKABOT, ¡te elijo a ti!
Elastic Security Labs observó nuevas campañas de PIKABOT, incluida una versión actualizada. PIKABOT es un cargador ampliamente desplegado que los actores maliciosos utilizan para distribuir cargas útiles adicionales.
Investigación inicial que expone a JOKERSPY
Explora JOKERSPY, una campaña recientemente descubierta que se dirige a instituciones financieras con puertas traseras de Python. En este artículo, se habla del reconocimiento, los patrones de ataque y los métodos para identificar JOKERSPY en tu red.
Respuesta de Elastic a SPECTRALVIPER
Elastic Security Labs descubrió las familias de malware P8LOADER, POWERSEAL y SPECTRALVIPER dirigidas a una agroindustria nacional vietnamita. REF2754 comparte malware y elementos motivacionales de los grupos de actividad REF4322 y APT32.
Grupos y tácticas
Ver todo
Bit ByBit: emulación del mayor robo de criptomonedas de la RPDC
Una emulación de alta fidelidad del mayor robo de criptomonedas de la RPDC a través de un desarrollador de macOS comprometido y cambios en AWS.
Apostar a los bots: investigar el malware de Linux, la criptominería y el abuso de las API de juegos de azar
La campaña REF6138 incluía criptominería, ataques DDoS y posible blanqueo de dinero a través de API de juegos de azar, lo que pone de relieve el uso por parte de los atacantes de malware en evolución y canales de comunicación sigilosos.
Código de conducta: intrusiones impulsadas por Python de la RPDC en redes seguras
Con la investigación del uso estratégico de Python por parte de la RPDC y la ingeniería social cuidadosamente diseñada, esta publicación arroja luz sobre cómo se violan redes altamente seguras con ataques cibernéticos efectivos y en evolución.
GrimResource - Consola de administración de Microsoft para acceso inicial y evasión
Los investigadores de Elastic descubrieron una nueva técnica, GrimResource, que permite la ejecución completa de código a través de archivos MSC especialmente diseñados. Suelta una tendencia de atacantes bien dotados de recursos que favorecen métodos innovadores de acceso inicial para evadir las defensas.
Perspectivas
WinVisor: un emulador basado en hipervisor para ejecutables en modo usuario de Windows x64
WinVisor es un emulador basado en hipervisor para ejecutables en modo de usuario de Windows x64 que utiliza la API de la Plataforma de Hipervisor de Windows para ofrecer un entorno virtualizado que permite hacer el logging de llamadas al sistema y realizar una introspección de memoria.
Tormenta en el horizonte: dentro del ecosistema IoT de AJCloud
Las cámaras Wi-Fi son populares debido a su precio accesible y conveniencia, pero muchas veces tienen vulnerabilidades de seguridad que pueden ser explotadas.
Kernel ETW es el mejor ETW
Esta investigación se centra en la importancia de los logs de auditoría nativos en el software seguro por diseño, lo que enfatiza la necesidad de contar con un log ETW a nivel de kernel sobre los ganchos en modo de usuario para mejorar las protecciones antimanipulación.
Olvídate de los controladores vulnerables, solo necesitas derechos de administrador
Bring Your Own Vulnerable Driver (BYOVD) es una técnica de ataque cada vez más popular en la que un agente de amenazas lleva un controlador firmado vulnerable conocido junto con su malware, lo carga en el kernel y luego lo explota para realizar alguna acción dentro del kernel que, de otro modo, no podría hacer. Empleado por actores de amenazas avanzados durante más de una década, BYOVD se está volviendo cada vez más común en ransomware y malware básico.
AI generativa
Ver todo
Elastic hace progresar la seguridad de LLM con campos e integraciones estandarizados
Descubre los últimos avances de Elastic en seguridad de LLM, centrados en integraciones de campo estandarizadas y capacidades de detección mejoradas. Descubre cómo la adopción de estos estándares puede proteger tus sistemas.
Incorporación de la seguridad en flujos de trabajo de LLM: el enfoque proactivo de Elastic
Sumérgete en la exploración de Elastic sobre la incorporación de seguridad directamente en los modelos de lenguaje grandes (LLM). Descubre nuestras estrategias para detectar y mitigar varias de las principales vulnerabilidades de OWASP en aplicaciones de LLM, lo que garantiza aplicaciones impulsadas por IA más seguras y protegidas.
Acelerar el proceso de detección de Elastic con los LLM
Obtén más información sobre cómo Elastic Security Labs se ha enfocado en acelerar nuestros flujos de trabajo de ingeniería de detección al aprovechar más capacidades de la IA generativa.
Uso de LLM y ESRE para encontrar sesiones de usuario similares
En nuestro artículo anterior, analizamos el uso del modelo de lenguaje grande (LLM) de GPT-4 para condensar las sesiones de usuario de Linux. En el contexto del mismo experimento, dedicamos un tiempo a examinar las sesiones que compartían similitudes. Posteriormente, estas sesiones similares pueden ayudar a los analistas a identificar actividades sospechosas relacionadas.
Herramientas
Ver todo
Situaciones de STIX: Hacer ECScapar tus datos de amenazas
Los datos estructurados de amenazas se suelen formatear con STIX. Para poder obtener estos datos en Elasticsearch, lanzamos un script de Python que convierte STIX a un formato ECS para que se ingiera en tu pila.
Entre la maleza: cómo ejecutamos Detonate
Analiza la implementación técnica del sistema Detonate, incluida la creación de sandbox, la tecnología de soporte, la recopilación de telemetría y cómo hacer explotar cosas.
Clic, clic... ¡bum! Automatizar las pruebas de protección con Detonate
Para automatizar este proceso y probar nuestras protecciones a escala, creamos Detonate, un sistema que usan los ingenieros de investigación de seguridad para medir la eficacia de nuestra solución Elastic Security de manera automatizada.
Desempacar ICEDID
ICEDID es conocido por empaquetar sus cargas útiles empleando formatos de archivo personalizados y un esquema de cifrado personalizado. Estamos lanzando un conjunto de herramientas para automatizar el proceso de desempaquetado y ayudar a los analistas y a la comunidad a responder a ICEDID.