UTID: 86680 (detección de tráfico de Sliver Framework C2) que bloquea el tráfico de Gmail
1711
Created On 11/02/23 19:21 PM - Last Modified 12/19/23 05:25 AM
Question
¿Por qué el tráfico de Gmail estaba bloqueado por UTID: 86680?
Answer
Descripción general del problema:
A partir del 25/10/2023 (hora de EE. UU.) hubo varios casos de UTID: 86680 (Sliver Framework C2 Traffic Detection) bloqueando el tráfico de Gmail. Palo Alto Networks tiene cobertura para Sliver desde 2023-03-29 con UTIDs: 86674 y 86680.Antecedentes de Sliver Framework C2:
Sliver, un marco multiplataforma de código abierto para la emulación de adversarios y el trabajo en equipo, es versátil para las pruebas de seguridad en organizaciones de varias escalas. Sus implantes facilitan el comando y control (C2) a través de TLS mutuo (mTLS), WireGuard, HTTP(S) y DNS, compilados dinámicamente con claves de cifrado asimétricas únicas para cada binario.Solución alternativa:
La solución temporal consistía en establecer una excepción.- Cómo usar excepciones antispyware, vulnerabilidades y antivirus para bloquear o permitir amenazas
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClcrCAC
Resolución de problemas:
Palo Alto Networks realizó cambios en la lógica de detección para solucionar el problema de los falsos positivos. La corrección se publicó en la versión de contenido 8774.Additional Information
Referencias: