====== Botnet - dron ======

Nahlášená IP adresa se pokusila stáhnout obsah z URL, o kterém je známo, že se používá k šíření malware, nebo se připojovala k adresám, identifikovaným jako řídící (CC, C2) server botnetu.

To obvykle znamená, že je systém zranitelný a někdo nepovolaný na něm vykonal příkazy, v rámci nichž se pokusil stáhnout payload malware, nebo už na něm malware běží.

V některých případech naše detekční systémy dokáží rozpoznat i to, zda bylo stažení úspěšné, či nikoliv (pak je v položce //Source.Type// značka ''Downloaded''). Ani úspěšné stažení nutně neznamená, že se malware podařilo spustit a stroj je nakažen, je to ale možné a už samotný fakt, že došlo k pokusu o přístup na URL s malware, je podezřelý.

Pouze ve určitých specifických případech se nemusí jednat o problém, např. pokud je na zdrojové IP honeypot, nebo si někdo stáhl malware záměrně kvůli výzkumu. V takových případech prosíme o informaci, IP adresu můžeme dát na whitelist.

Jinak doporučujeme IP adresu vyhledat na službě //Shodan// (nebo //SNER//, pokud využíváte službu [[https://www.cesnet.cz/sluzby/bezpecnost-4/skenovani-67|Skenování]]), zda nemá do internetu otevřené služby, které by mít neměla, příp. ji oskenovat vlasními nástroji (např. //nmap//).

Další informace o URL a malware, který se na ní nachází, lze často nalézt na:
  * https://urlhaus.abuse.ch/browse/
  * https://www.virustotal.com/gui/home/search

Pakliže máme konkrétní informace o malware, který se na URL nachází, je v poli //Attach// uvedena jeho hash. Zpráva také může obsahovat přímé odkazy na //VirusTotal// či //URLhaus//, pokud tam v okamžiku jejího generování byly o daném malware záznamy.

Detekce proběhla na základě pozorování spojení, kdy se porovnávají cíle se seznamem známých škodlivých IP nebo URL.