UTID:86680(Sliver Framework C2 流量检测)阻止 Gmail 流量
1745
Created On 11/02/23 19:21 PM - Last Modified 12/19/23 05:27 AM
Question
为什么 Gmail 流量被 UTID:86680 阻止?
Answer
问题概述:
从 2023 年 10 月 25 日(美国时间)开始,有几个 UTID:86680(Sliver Framework C2 流量检测)阻止 Gmail 流量的实例。 自 2023 年 3 月 29 日起,Palo Alto Networks 已覆盖 Sliver,UTID:86674 和 86680。Sliver Framework C2 的背景:
Sliver 是一个用于对手仿真和红队构建的开源跨平台框架,适用于各种规模的组织的安全测试。 它的植入物通过相互 TLS (mTLS)、WireGuard、HTTP(S) 和 DNS 促进命令和控制 (C2),每个二进制文件都使用唯一的非对称加密密钥进行动态编译。解决方法:
临时解决方法是设置例外。- 如何使用反间谍软件、漏洞和防病毒例外来阻止或允许威胁
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClcrCAC
问题解决:
Palo Alto Networks 对检测逻辑进行了更改,以解决误报问题。 此修复程序已在内容版本 8774 中发布。Additional Information
参考资料: