UTID: 86680 (Sliver Framework C2 Traffic Detection) が Gmail トラフィックをブロックしている
1731
Created On 11/02/23 19:21 PM - Last Modified 12/19/23 05:21 AM
Question
Gmail のトラフィックが UTID: 86680 によってブロックされたのはなぜですか?
Answer
問題の概要:
2023 年 10 月 25 日(米国時間)以降、UTID: 86680(Sliver Framework C2 Traffic Detection)が Gmail トラフィックをブロックしているインスタンスが複数発生しました。 パロアルトネットワークスは、2023 年 3 月 29 日から Sliver を UTID 86674 および 86680 でカバーしています。Sliver Framework C2 の背景:
Sliverは、敵対者エミュレーションとレッドチームのためのオープンソースのクロスプラットフォームフレームワークであり、さまざまな規模の組織でのセキュリティテストに汎用性があります。 そのインプラントは、相互TLS(mTLS)、WireGuard、HTTP(S)、およびDNSを介したコマンドアンドコントロール(C2)を容易にし、各バイナリに一意の非対称暗号化キーで動的にコンパイルします。回避策:
一時的な回避策は、例外を設定することでした。- スパイウェア対策、脆弱性、およびウイルス対策の例外を使用して脅威をブロックまたは許可する方法
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClcrCAC
問題の解決方法:
パロアルトネットワークスは、誤検知の問題に対処するために検出ロジックを変更しました。 この修正プログラムは、コンテンツ バージョン 8774 でリリースされました。Additional Information
参考文献: