Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Fallstudien zur Integration von Palo Alto

Das Sophos MDR-Team hat den folgenden Fall für Palo Alto eskaliert.

Der Fall

Am 7. Februar wurde der MDR über einen XDR-palo-alto-Command-and-Control in Ihrer Umgebung gewarnt. Diese Warnmeldungen wurden vom nicht verwalteten Netzwerkverkehr-Host xx.x.xx.xxx zu den IPs xx.xx.xxx.xxx und xxx.xxx.xx.xxx über Port 53 generiert. Die Warnmeldung bezieht sich auf eine nicht bearbeitete Cobalt Strike C2-Erkennung. Weitere Analysen zu der Warnmeldung befanden die IP xxx.xxx.xx.xxx als unbedenklich, da sie zu redacted[.]co[.]nz jedoch auflöst. xx.xx.xxx.xxx ist jedoch eine bekanntermaßen schädliche IP mit geographischem Standort in Peking, China. Wir untersuchten Prozesse, Netzwerkaktivitäten, Dateien und Protokolle und beobachteten keine schädlichen Aktivitäten für Hosts mit IPs xx.x.xx.xxx und xx.x.xx.xxx. Wir haben sie auch auf häufige Persistenzbereiche untersucht, wie Reverse Shells, Startelemente, Prozesse mit der Umgebungsvariablen LD_PRELOAD und es wurden keine schädlichen Aktivitäten beobachtet. Bitte teilen Sie uns mit, wenn Sie weitere Fragen oder Bedenken haben. Wir bitten Sie, unsere unten aufgeführten Empfehlungen zu befolgen.

Empfehlungen

Blockieren Sie die schädliche IP-Adresse xx.x.xx.xxx am Netzwerk-Perimeter.