Vai al contenuto
Il supporto che offriamo per MDR.

Case study per l’integrazione Palo alto

Il team Sophos MDR ha mandato in escalation il seguente caso per Palo Alto.

Il caso

Il 7 febbraio, MDR ha ricevuto un avviso relativo a un rilevamento XDR-palo-alto-Command-and-Control nel tuo ambiente. Questi avvisi sono stati generati dall’host non gestito del traffico di rete xx.x.xx.xxx per comunicazioni verso gli IP xx.xx.xxx.xxx e xxx.xxx.xx.xxx sulla porta 53. L’avviso riguarda un rilevamento Cobalt Strike C2 su cui non è stata intrapresa un’azione. Da ulteriori indagini sull’avviso è emerso che l’IP xxx.xxx.xx.xxx è innocuo, in quanto si risolve a redacted[.]co[.]nz. Tuttavia l’IP xx.xx.xxx.xxx è un IP malevolo noto, geolocalizzato a Pechino, in Cina. Abbiamo analizzato processi, attività di rete, file e log e non abbiamo osservato attività dannose per gli host con IP xx.x.xx.xxx e xx.x.xx.xxx. Sono state inoltre svolte indagini su comuni ambiti di persistenza, come reverse shell, elementi di avvio e processi con il set di variabili di ambiente LD_PRELOAD, e non sono state osservate attività dannose. Se hai ulteriori domande o dubbi, ti invitiamo a contattarci. Al momento, ti chiediamo di seguire le nostre raccomandazioni elencate di seguito.

Raccomandazioni

Blocca l’IP dannoso xx.x.xx.xxx a livello del tuo perimetro di rete.