Estudos de caso de integração da Palo Alto
A equipe Sophos MDR encaminhou o seguinte caso da Palo Alto.
O caso
Em 7 de fevereiro, o MDR foi alertado sobre um XDR-palo-alto-Command-and-Control
em seu patrimônio digital. Esses alertas foram gerados do host não gerenciado de tráfego de rede xx.x.xx.xxx
para os IPs xx.xx.xxx.xxx
e xxx.xxx.xx.xxx
pela porta 53. O alerta é referente a uma detecção unactioned de Cobalt Strike C2. Mais investigação sobre o alerta descobriu que o IP xxx.xxx.xx.xxx
é benigno, uma vez que ele resolve para redacted[.]co[.]nz
, no entanto, o IP xx.xx.xxx.xxx
é um IP malicioso conhecido e geograficamente localizado em Pequim, China. Investigamos processos, atividade da rede, arquivos e logs e não observamos atividades maliciosas dos hosts com IPs xx.x.xx.xxx
e xx.x.xx.xxx
. Também investigamos as áreas comuns de persistência, como shells reversos, itens de inicialização e processos com o conjunto de variáveis de ambiente LD_PRELOAD, e não observamos atividades maliciosas. Entre em contato conosco caso tenha dúvidas ou outras considerações. No momento, pedimos que siga as nossas recomendações listadas abaixo.
Recomendações
Bloqueie o IP malicioso xx.x.xx.xxx
no perímetro da sua rede.