[SID: 29565] Web Attack: Webpulse Bad Reputation Domain Request

book

Article ID: 227064

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

Symantec Endpoint Protectionで以下の異常が多発しました。原因と対策方法を教えてください。

468 2021/10/27 14:23:39 侵入防止 致命的 発信 TCP 98.126.176.53 443 N/A 172.16.6.36 54007 N/A C:\PROGRAM FILES (X86)\MASKVPN\MASK_SVC.EXE 29565 72422 Web Attack: Webpulse Bad Reputation Domain Request https://vpn.maskvpn.org  none  デフォルト 4 2021/10/27 14:23:16 2021/10/27 14:23:26 [SID: 29565] Web Attack: Webpulse Bad Reputation Domain Request 攻撃を遮断しました。 このアプリケーションのトラフィックを遮断しました: C:\PROGRAM FILES (X86)\MASKVPN\MASK_SVC.EXE 繝ャ繝吶Ν 1 N/A 謔ェ雉ェ縺ェ逋コ菫。蜈・繝槭Ν繝阪ャ繝・ {"actor":{"cmd_line":"\"C:\\Program Files (x86)\\MaskVPN\\mask_svc.exe\"","file":{"company_name":"Global Media (Thailand) Co., Ltd",<<<中略>>>,"remediated":true,"threat":{"id":29565,"name":"Web Attack: Webpulse Bad Reputation Domain Request","risk_id":100,"type_id":6}}

Resolution

今回の検出について主要部分を抜粋します。これはWebpulse(URL評価) での検知で、評価の低いサイトに対するアクセスが検知されたものです。

ログ抜粋: [SID: 29565] Web Attack: Webpulse Bad Reputation Domain Request 攻撃を遮断しました。 このアプリケーションのトラフィックを遮断しました: C:\PROGRAM FILES (X86)\MASKVPN\MASK_SVC.EXE

今回、MASKVPNプログラムが評価の低いサイトに対してアクセスした結果検知されたものと考えられます。メッセージにありますように攻撃は遮断されていますので影響はないものと判断されます。

Additional Information

Similar URL Reputation detection: Symantec Web Attack