UTID: 86680 (Sliver Framework C2 Traffic Detection) blockiert Gmail-Datenverkehr

UTID: 86680 (Sliver Framework C2 Traffic Detection) blockiert Gmail-Datenverkehr

1739
Created On 11/02/23 19:21 PM - Last Modified 12/19/23 05:21 AM


Question


Warum wurde der Gmail-Datenverkehr durch UTID: 86680 blockiert?

Answer


Problemübersicht:

Ab dem 25.10.2023 (US-Zeit) gab es mehrere Fälle von UTID: 86680 (Sliver Framework C2 Traffic Detection), die den Gmail-Datenverkehr blockierten. Palo Alto Networks ist seit dem 29.03.2023 mit UTIDs: 86674 und 86680 für Sliver verfügbar.

 

Hintergrund des Sliver Framework C2:

Sliver, ein plattformübergreifendes Open-Source-Framework für die Emulation von Angreifern und Red Teaming, eignet sich vielseitig für Sicherheitstests in Unternehmen unterschiedlicher Größenordnung. Seine Implantate ermöglichen Command and Control (C2) über Mutual TLS (mTLS), WireGuard, HTTP(S) und DNS, die dynamisch mit eindeutigen asymmetrischen Verschlüsselungsschlüsseln für jede Binärdatei kompiliert werden. 

 

Problemumgehung:

Die zeitliche Problemumgehung bestand darin, eine Ausnahme festzulegen.
- Verwendung von Anti-Spyware-, Schwachstellen- und Antivirenausnahmen, um Bedrohungen zu blockieren oder zuzulassen
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClcrCAC

 

Problembehebung:

Palo Alto Networks hat Änderungen an der Erkennungslogik vorgenommen, um das Problem der Fehlalarme zu beheben. Der Fix wurde in der Inhaltsversion 8774 veröffentlicht.

Additional Information


Literaturhinweise:
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008VkPCAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language