No Cisco de Operações de Segurança da Conferência da Cisco Live San Diego 2025 (SOC), o tráfego de Span (Switched Port Analyzer) que recebemos do NOC é de quase 80% de tráfego criptografado. Isso significa que, se apenas investigarmos o tráfego não criptografado, estamos perdendo a maioria dos pacotes voando pela rede. O mecanismo de visibilidade criptografado (EVE) é um recurso no Firewall Secure Cisco que fornece visibilidade do tráfego de TLS (HTTPS) criptografado sem precisar descriptografá -lo. Ele aproveita a impressão digital TLS para detectar e classificar aplicativos, malware e outros comportamentos em fluxos criptografados, preservando a privacidade.
Observamos uma máquina com vários alertas para malware Upatreuma variante de malware frequentemente usada para fornecer outras cargas úteis. As detecções upatre estão associadas a solicitações para pcApp (.) armazenamentoum site que pode servir funções legítimas de download de software, mas que também está associado a downloads de carga útil de adware e malware. Enquanto investigamos, também observamos conexões regulares de RDP com um IP italiano pertencente ao Experie, um serviço de gerenciamento de dados.
Etapas de investigação
- Contexto de rede – A investigação começa no Visualizador de Eventos Unificados do Centro de Gerenciamento de Firewall (FMC). Adicionando uma coluna para detecções e filtragem de véspera para pontuações de confiança “alta” e “muito alta” da véspera.
- Pivot para análise de impressão digital e indicador seguro de análise de malware – girando do FMC para a análise de impressão digital TLS mostra os detalhes do que a impressão digital está procurando e a relevância de Upatre. A seleção de ‘malware upatre’ abre o indicador em análise de malware segura (SMA – anteriormente Ameak Grid) para entender melhor os comportamentos de malware Upatre.
- PCAP Dive Deep Dive – Girando para Endace para puxar um PCAP (captura de pacotes) de tráfego em Wireshark revela o campo SNI do servidor (indicação de nome do servidor) de pcApp (.) armazenamento. O cliente olá A oferta de suíte cifra TLS também valida o que havia nos detalhes da impressão digital.
- Usando o XDR Investigate – Em seguida, lançamos uma investigação de pcApp (.) armazenamento em XDR para investigar e viu que a SMA mostra vários arquivos maliciosos conectados a pcApp (.) armazenamento. Também vimos várias pesquisas de DNS (serviço de nome de domínio) para esse domínio da rede sem fio Cisco Live.
- Usando o Splunk para procurar conexões adicionais – Usando Splunk para encontrar conexão adicional com pcApp (.) armazenamento revelou que havia 1.200 outras conexões com o mesmo URL, mas apenas esse host desencadeou a detecção de Eva para a impressão digital.
- Usando o Splunk para procurar conexões adicionais – Usando Splunk para encontrar conexão adicional com pcApp (.) armazenamento revelou que havia 1.200 outras conexões com o mesmo URL, mas apenas esse host desencadeou a detecção de Eva para a impressão digital.
Takeaway e resposta
Usando o Splunk para pesquisar os dados do DHCP, o nome do host indicou que o cliente era uma máquina Windows no Wi-Fi geral. Escalamos um relatório de incidente para o NOC. Potencialmente, o dispositivo poderia ter sido localizado usando dados do ponto de acesso Wi-Fi. Além disso, com telemetria de endpoint, poderíamos realmente validar um malware Upatre infecção.
Esta investigação mostra o quão poderosa a telemetria de rede pode estar em uma investigação, especialmente quando os dispositivos da rede Wi-Fi da conferência não são gerenciados pelo SOC.
Quer aprender mais sobre o que vimos no Cisco Live San Diego 2025? Confira nossa postagem principal do blog – Cisco Live San Diego 2025 Soc – e o restante do conteúdo do Cisco Live Soc.
Adoraríamos ouvir o que você pensa! Faça uma pergunta e mantenha -se conectado à segurança da Cisco nas mídias sociais.
Cisco Security Social Media
Compartilhar: