UTID : 86680 (Sliver Framework C2 Traffic Detection) bloquant le trafic Gmail
1727
Created On 11/02/23 19:21 PM - Last Modified 12/19/23 05:26 AM
Question
Pourquoi le trafic Gmail a-t-il été bloqué par UTID : 86680 ?
Answer
Aperçu du problème :
À partir du 25/10/2023 (heure des États-Unis), il y a eu plusieurs cas d’UTID : 86680 (Sliver Framework C2 Traffic Detection) bloquant le trafic Gmail. Palo Alto Networks couvre Sliver depuis le 29/03/2023 avec les UTID : 86674 et 86680.Contexte de Sliver Framework C2 :
Sliver, un framework multiplateforme open source pour l’émulation d’adversaires et le red teaming, est polyvalent pour les tests de sécurité dans les organisations de différentes tailles. Ses implants facilitent le commandement et le contrôle (C2) via Mutual TLS (mTLS), WireGuard, HTTP(S) et DNS, compilés dynamiquement avec des clés de chiffrement asymétriques uniques pour chaque binaire.Solution de contournement :
La solution de contournement temporelle consistait à définir une exception.- Comment utiliser les exceptions anti-spyware, vulnerability et antivirus pour bloquer ou autoriser les menaces
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClcrCAC
Résolution des problèmes :
Palo Alto Networks a apporté des modifications à la logique de détection pour résoudre le problème des faux positifs. Le correctif a été publié dans la version de contenu 8774.Additional Information
Références :