Case study per l’integrazione Palo alto
Il team Sophos MDR ha mandato in escalation il seguente caso per Palo Alto.
Il caso
Il 7 febbraio, MDR ha ricevuto un avviso relativo a un rilevamento XDR-palo-alto-Command-and-Control
nel tuo ambiente. Questi avvisi sono stati generati dall’host non gestito del traffico di rete xx.x.xx.xxx
per comunicazioni verso gli IP xx.xx.xxx.xxx
e xxx.xxx.xx.xxx
sulla porta 53. L’avviso riguarda un rilevamento Cobalt Strike C2 su cui non è stata intrapresa un’azione. Da ulteriori indagini sull’avviso è emerso che l’IP xxx.xxx.xx.xxx
è innocuo, in quanto si risolve a redacted[.]co[.]nz
. Tuttavia l’IP xx.xx.xxx.xxx
è un IP malevolo noto, geolocalizzato a Pechino, in Cina. Abbiamo analizzato processi, attività di rete, file e log e non abbiamo osservato attività dannose per gli host con IP xx.x.xx.xxx
e xx.x.xx.xxx
. Sono state inoltre svolte indagini su comuni ambiti di persistenza, come reverse shell, elementi di avvio e processi con il set di variabili di ambiente LD_PRELOAD, e non sono state osservate attività dannose. Se hai ulteriori domande o dubbi, ti invitiamo a contattarci. Al momento, ti chiediamo di seguire le nostre raccomandazioni elencate di seguito.
Raccomandazioni
Blocca l’IP dannoso xx.x.xx.xxx
a livello del tuo perimetro di rete.