Estudios de casos de integración de Palo Alto
El equipo de Sophos MDR derivó el siguiente caso para Palo Alto.
El caso
El 7 de febrero, MDR fue alertado de una actividad XDR-palo-alto-Command-and-Control
en su entorno. Estas alertas se generaron desde el host no administrado de tráfico de red xx.x.xx.xxx
a las IP xx.xx.xxx.xxx
y xxx.xxx.xx.xxx
a través del puerto 53. La alerta es para una detección de Cobalt Strike C2 no accionada. Una investigación adicional sobre la alerta indicó que la IP xxx.xxx.xx.xxx
es benigna, ya que se resuelve en redacted[.]co[.]nz
. Sin embargo, la IP xx.xx.xxx.xxx
es una IP maliciosa conocida geolocalizada en Pekín, China. Investigamos procesos, actividad de red, archivos y registros y no observamos actividad maliciosa para los hosts con las IP xx.x.xx.xxx
y xx.x.xx.xxx
. También los investigamos en busca de áreas comunes de persistencia, como shells inversos, elementos de inicio y procesos con la variable de entorno LD_PRELOAD establecida, y no observamos actividad maliciosa. Comuníquenos si tiene más dudas o preguntas. En este momento, le pedimos que siga nuestras recomendaciones, que indicamos a continuación.
Recomendaciones
Bloquee la IP maliciosa xx.x.xx.xxx
en el perímetro de su red.