Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 24 replies
  • Subscribers 0 subscribers
  • Views 9847 views
  • Users 0 members are here
Options
Suggested

[8.940][OPEN] UTM unable to catch virus (sophos endpoint does)

wingman
Hi All

I have HTTp proxy with both antivirus enabled. Also I have sophos endpoint installed. 

It seems that the endpoint catch more virus that the UTM. I would expect the sophos engine to get the following since (that's my understanding) both sophos engines are the same (UTM and endpoint)

Log below from the endpoint alert

Event: Access has been blocked to **********/gipoto/dabstepinattack.php" as 'Mal/ExpJS-AA' has been found at this website.


Relevant log from web filter

2012:05:05-10:41:07 ****httpproxy[4521]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.***.***" dstip="173.236.50.237" user="" statuscode="200" cached="4" profile="REF_CnNPwVRtng (Internal Users)" filteraction="REF_DefaultHTTPCFFBlockAction (Internal Users)" size="11580" request="0xa96de5e0" url="http://********/gipoto/dabstepinattack.php" exceptions="" error="" country="United States" category="178" reputation="neutral" categoryname="Internet Services" content-type="text/html"


However, this was not the case.  According to virus total ,avira sees that as malware
https://www.virustotal.com/url/1306b95314166571070869cc804ca15e91a734fd24f72565117c4566b9deaa4f/analysis/1336217603/
but is not blocked 

Thanks
Parents
  • 0
    thanks Kai

    it seems that this issue was fixed as now (engine 3.31.20) doesn't block it anymore. Let me see if I understand it correctly : If the virus/malware is known to the UTM it will detect it first even though endpoint uses live protection (therefore getting the latest virus first)- This is proven by eicar file (it is detected by UTM first and not endpoint)

    I can't test with http://whiteejumiller.aa.am/gipoto/dabstepinattack.php anymore as the host is down

    Testing i-tvdish.com (detected as Mal/HTMLGen-A by sophos endpoint-- DO NOT CLICK)  it can de detected by endpoint first  even though UTM knows that this URL is classified as malicious and blocking the site

    2012:05:22-21:11:13 **** httpproxy[4479]: id="0061" severity="info" sys="SecureWeb" sub="http" name="web request blocked, reputation limit" action="block" method="GET" srcip="192.168.2.5" dstip="" user="" statuscode="403" cached="0" profile="REF_CnNPwVRtng (Internal Users)" filteraction="REF_DefaultHTTPCFFBlockAction (Internal Users)" size="2940" request="0xa87b5e38" url="i-tvdish.com/.../A" reason="category" category="130,201" reputation="malicious" categoryname="Malicious Sites,Consumer Protection"


    Does that mean endpoint detects first and then UTM? (I would expect UTM to be the first scanner and then the web scanning of endpoint will check again
  • 0 in reply to wingman
    thanks Kai

    it seems that this issue was fixed as now (engine 3.31.20) doesn't block it anymore. Let me see if I understand it correctly : If the virus/malware is known to the UTM it will detect it first even though endpoint uses live protection (therefore getting the latest virus first)- This is proven by eicar file (it is detected by UTM first and not endpoint)

    I can't test with http://whiteejumiller.aa.am/gipoto/dabstepinattack.php anymore as the host is down

    Testing i-tvdish.com (detected as Mal/HTMLGen-A by sophos endpoint-- DO NOT CLICK)  it can de detected by endpoint first  even though UTM knows that this URL is classified as malicious and blocking the site 

    2012:05:22-21:11:13 **** httpproxy[4479]: id="0061" severity="info" sys="SecureWeb" sub="http" name="web request blocked, reputation limit" action="block" method="GET" srcip="192.168.2.5" dstip="" user="" statuscode="403" cached="0" profile="REF_CnNPwVRtng (Internal Users)" filteraction="REF_DefaultHTTPCFFBlockAction (Internal Users)" size="2940" request="0xa87b5e38" url="http://i-tvdish.com/" exceptions="" error="" country="N/A" reason="category" category="130,201" reputation="malicious" categoryname="Malicious Sites,Consumer Protection"


    Does that mean endpoint detects first and then UTM? (I would expect UTM to be the first scanner and then the web scanning of endpoint will check again


    no ti means the things sail by the utm and get caught by the endpooints..not good.  this means potentially the utm has the inferior sophos product at the edge which isn't good at all..the cloud based system should be at the edge not the endpoints.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Reply
  • 0 in reply to wingman
    thanks Kai

    it seems that this issue was fixed as now (engine 3.31.20) doesn't block it anymore. Let me see if I understand it correctly : If the virus/malware is known to the UTM it will detect it first even though endpoint uses live protection (therefore getting the latest virus first)- This is proven by eicar file (it is detected by UTM first and not endpoint)

    I can't test with http://whiteejumiller.aa.am/gipoto/dabstepinattack.php anymore as the host is down

    Testing i-tvdish.com (detected as Mal/HTMLGen-A by sophos endpoint-- DO NOT CLICK)  it can de detected by endpoint first  even though UTM knows that this URL is classified as malicious and blocking the site 

    2012:05:22-21:11:13 **** httpproxy[4479]: id="0061" severity="info" sys="SecureWeb" sub="http" name="web request blocked, reputation limit" action="block" method="GET" srcip="192.168.2.5" dstip="" user="" statuscode="403" cached="0" profile="REF_CnNPwVRtng (Internal Users)" filteraction="REF_DefaultHTTPCFFBlockAction (Internal Users)" size="2940" request="0xa87b5e38" url="http://i-tvdish.com/" exceptions="" error="" country="N/A" reason="category" category="130,201" reputation="malicious" categoryname="Malicious Sites,Consumer Protection"


    Does that mean endpoint detects first and then UTM? (I would expect UTM to be the first scanner and then the web scanning of endpoint will check again


    no ti means the things sail by the utm and get caught by the endpooints..not good.  this means potentially the utm has the inferior sophos product at the edge which isn't good at all..the cloud based system should be at the edge not the endpoints.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Children
  • 0 in reply to William Warren
    Morning wingman,

    I just got word from SophosLabs:

    They do use the same engine.
    Just checked and found that using the UTM V9 we are detecting all the samples from our own collection associated with this identity ("Mal/Expjs-AA").
    The URL no longer appears to be available. So I'll need to see the actual sample they used to investigate further.
    Also we should determine the data and engine version they're using


    Anything you can provide will help our virus specialists investigate further.
    Thanks in advance.

    Cheers,
    Cristof
Unfiltered HTML