App.exe no se reenvía WildFire desde el Firewall
0
Created On 04/01/19 10:33 AM - Last Modified 07/19/22 23:14 PM
Symptom
App.exe no se reenvía para WildFire su análisis por el firewall .
Cause
1) Podemos ver que el archivo ejecutable portátil ( PE ) es un tipo de archivo compatible para el WildFire análisis: https://docs.paloaltonetworks.com/
wildfire /8-1/ wildfire -admin/ wildfire -overview/ wildfire -file-type-support.html
2) Al mirar más de cerca la aplicación.exe en endpoint, Podemos ver que App.exe es un archivo de texto a pesar de que tiene una extensión .exe y el archivo de texto no es un tipo de archivo compatible para WildFire el análisis: $ aplicación de
archivo.exe
App.exe: ASCII texto, sin terminadores de línea
3) Detectamos archivos .exe basados en información de encabezado de archivo y no basado en la extensión. Para un archivo .exe genuino, podemos ver que el MZ encabezado está presente:
$ xxd muestra.exe | cabeza -2
0000000000: 4d5a 5000 0200 0000 0400 0f00 ffff 0000 MZP .............
00000010: b800 0000 0000 0000 4000 1a00 0000 0000 ........@.......
$ ejemplo de archivo.exe
ejemplo.exe: ejecutable PE32 ( GUI ) Intel 80386, para MS Windows
Resolution
Esto funciona según lo esperado, ya que el archivo de texto no es un tipo de archivo compatible para WildFire el análisis.