1、查看拦截日志,发现是URL过滤拦截,且此URL被AF判断为钓鱼网站
2、在URL库里面对apps.identrust.com/roots/dstrootcax3.p7c和apps.identrust.com查询是属于IT相关
3、查询安全日志里面拦截的安全策略应用的内容安全模版里面的URL过滤没有勾选IT相关
情况一:检查url规则库版本为0601,僵尸网络防病毒库是0517,此时url库将此域名拉黑,可回退url库解决,或单独加白解决,若不影响业务可继续往下看,清楚原理后给客户解释即可;
情况二:检查url规则库版本为0509,僵尸网络防病毒库为0605,此时僵尸网络防病毒库更新了此域名将其拉黑,若要恢复需要回退僵尸网络防病毒库,或单独加白解决,若不影响业务可继续往下看,清楚原理后给客户解释即可;
5、此类域名客户本身访问就是正常的,前往情报网站查询均未报恶意
6、与情报研发确认,此域名是前段时间2022 SL行动中的情报(TOP100恶意样本),在CNCERT2022年发布的勒索软件动态周报中也有提及,所以我们6月左右将此域名加入了库中;因为之前没有足够的举证说明是白的,又担心客户被通报所以加黑了。
7、根据最近一段时间收集的信息,可以比较明确的说明这条url并没有相关的恶意通讯软件,此url我们已经在0608删除,若客户开通了云查/云鉴,且本地规则库没有更新到误判的版本(url库0601,僵尸网络库0605),则可以及时更新,如果只有本地规则库,则需要等待本地规则库更新(一般两周更新一次,预计6月下旬更新),若影响业务建议先自定义加白,但如果不影响客户业务,只需像客户说明情况即可。
若客户的url库或者僵尸网络防病毒库是0601/0605,则此版本库合入了此误判的域名,只能通过回退规则库,或者单独加白解决(就算客户有云鉴,云端0608已更新,但此时会优先查本地不查云端)
PS:不建议直接回退规则库,因为库还会更新其他恶意域名,建议单独放通
6月下旬更新本地规则库后,客户更新规则库即不会再出现此拦截
建议使用Chrome浏览器访问!