Fallstudien zur Integration von Palo Alto
Das Sophos MDR-Team hat den folgenden Fall für Palo Alto eskaliert.
Der Fall
Am 7. Februar wurde der MDR über einen XDR-palo-alto-Command-and-Control
in Ihrer Umgebung gewarnt. Diese Warnmeldungen wurden vom nicht verwalteten Netzwerkverkehr-Host xx.x.xx.xxx
zu den IPs xx.xx.xxx.xxx
und xxx.xxx.xx.xxx
über Port 53 generiert. Die Warnmeldung bezieht sich auf eine nicht bearbeitete Cobalt Strike C2-Erkennung. Weitere Analysen zu der Warnmeldung befanden die IP xxx.xxx.xx.xxx
als unbedenklich, da sie zu redacted[.]co[.]nz
jedoch auflöst. xx.xx.xxx.xxx
ist jedoch eine bekanntermaßen schädliche IP mit geographischem Standort in Peking, China. Wir untersuchten Prozesse, Netzwerkaktivitäten, Dateien und Protokolle und beobachteten keine schädlichen Aktivitäten für Hosts mit IPs xx.x.xx.xxx
und xx.x.xx.xxx
. Wir haben sie auch auf häufige Persistenzbereiche untersucht, wie Reverse Shells, Startelemente, Prozesse mit der Umgebungsvariablen LD_PRELOAD und es wurden keine schädlichen Aktivitäten beobachtet. Bitte teilen Sie uns mit, wenn Sie weitere Fragen oder Bedenken haben. Wir bitten Sie, unsere unten aufgeführten Empfehlungen zu befolgen.
Empfehlungen
Blockieren Sie die schädliche IP-Adresse xx.x.xx.xxx
am Netzwerk-Perimeter.