Nahlášená IP adresa se pokusila stáhnout obsah z URL, o kterém je známo, že se používá k šíření malware, nebo se připojovala k adresám, identifikovaným jako řídící (CC, C2) server botnetu.
To obvykle znamená, že je systém zranitelný a někdo nepovolaný na něm vykonal příkazy, v rámci nichž se pokusil stáhnout payload malware, nebo už na něm malware běží.
V některých případech naše detekční systémy dokáží rozpoznat i to, zda bylo stažení úspěšné, či nikoliv (pak je v položce Source.Type značka Downloaded). Ani úspěšné stažení nutně neznamená, že se malware podařilo spustit a stroj je nakažen, je to ale možné a už samotný fakt, že došlo k pokusu o přístup na URL s malware, je podezřelý.
Pouze ve určitých specifických případech se nemusí jednat o problém, např. pokud je na zdrojové IP honeypot, nebo si někdo stáhl malware záměrně kvůli výzkumu. V takových případech prosíme o informaci, IP adresu můžeme dát na whitelist.
Jinak doporučujeme IP adresu vyhledat na službě Shodan (nebo SNER, pokud využíváte službu Skenování), zda nemá do internetu otevřené služby, které by mít neměla, příp. ji oskenovat vlasními nástroji (např. nmap).
Další informace o URL a malware, který se na ní nachází, lze často nalézt na:
Pakliže máme konkrétní informace o malware, který se na URL nachází, je v poli Attach uvedena jeho hash. Zpráva také může obsahovat přímé odkazy na VirusTotal či URLhaus, pokud tam v okamžiku jejího generování byly o daném malware záznamy.
Detekce proběhla na základě pozorování spojení, kdy se porovnávají cíle se seznamem známých škodlivých IP nebo URL.