Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 3 subscribers
  • Views 3932 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IDS/IPS & HTTP/S Proxy does not catch Malicious Links

Alvin
Hi Guys

- I am posting under General as it is both a question of IDS/IPS and HTTP Proxy.

- My Question is just to confirm Astaro is not catching these threats Or if my configuration wrong.

- IDS/IPS - Network - LAN with ALL Rules and Additional Alerts Enabled.

- HTTP Proxy with Both Antivirus Enabled.

- Problem - I often test my security by purposely go and click those spam mails which is very obvious it would bring me to malicious websites.

- The Problem I face is, 100% of these websites attacks (Blackhole Expoit, JAVA etc) is caught by Symantec End Point Protection.

- I am worried as to why my Astaro NEVER ever detected anything.

- Shouldn't the IDS/IPS Intercept the malicious packets?

- Shouldn't the HTTP/S Proxy Antivirus catch it?

- I do Understand IDS/IPS and HTTP/S Proxy is Never 100% but I am worried when almost a year of playing with Astaro to the best of my knowledge, I never seen it defended me at the Perimeter.

- I am sure my HTTP/S Proxy is working as if I download Eicar Virus, it would show it.

- Problem is in the real world, we need protection against all these SPAM E-mails with Malicious Links that brings us to websites with Malicious Exploit Codes.


This thread was automatically locked due to age.
  • 0
    Symantec Detect the malicious websites as

    Web Attack: Malicious JAR File Download 6
    Web Attack: Malicious Injected Javascript 10

    @@ BELOW IS THE MALICIOUS LINKS IN A INTUIT SPAM E-MAIL SO YOU SHOULD KNOW WHAT YOU ARE DOING BEFORE CLICKING BLINDLY AT YOUR OWN RISK AND RESPONSIBLE FOR YOUR OWN ACTIONS @@
    - This is the latest link I have.
    - NO need to post old links as they would be Invalid within a day.

    projexpert.com.br/.../index.html
  • 0
    I submitted the linkt o Virus Total URL Scan and below is the result.

    The HTTP Proxy with Content Protection ( Yes I did select all the obvious malicious websites, spams, exploits catagory) does not flag either.

    So effectively Non of the layers in Astaro protected me.



    Normalized URL:

    projexpert.com.br/.../index.html



    Detection ratio:

    2 / 19



    Analysis date:

     2012-03-01 16:23:27 UTC ( 0 minutes ago ) 













    0



    0

     





    URL Scanner

    Result




    Avira

    Clean site



    BitDefender

    Clean site



    CLEAN MX

    Clean site



    G-Data

    Clean site



    Google Safebrowsing

    Clean site



    Malc0de Database

    Clean site



    MalwareDomainList

    Clean site



    Opera

    Clean site



    ParetoLogic

    Clean site



    Phishtank

    Clean site



    SCUMWARE.org

    Malware site



    SpyEyeTracker

    Clean site



    TrendMicro

    Unrated site



    URLQuery

    Unrated site



    VX Vault

    Clean site



    Websense ThreatSeeker

    Malicious site



    Wepawet

    Unrated site



    Yandex Safebrowsing

    Clean site



    ZeusTracker

    Clean site
  • 0
    - The Problem I face is, 100% of these websites attacks (Blackhole Expoit, JAVA etc) is caught by Symantec End Point Protection.

    That's why we recommend to have anti-virus  in Astaro, on each client and on each server.  If you purposely open an email identified as containing a virus, you need end-point protection since you've allowed the malware to go around the Astaro protection.

    - Shouldn't the IDS/IPS Intercept the malicious packets

    The packets themselves wouldn't be caught by IPS.

    - Shouldn't the HTTP/S Proxy Antivirus catch it?

    Yes, if it configured "correctly" ("Standard" with HTTPS scanning enabled).  But, again, no one gets it right first all of the time; even Avira although it is top-rated.  This is why we always recommend that servers and clients have different AV from different suppliers (not Avira, either).

    - Problem is in the real world, we need protection against all these SPAM E-mails with Malicious Links that brings us to websites with Malicious Exploit Codes.

    There's no protection for people that are careless.  There always will be a new URL with malware.  I recommend blocking sites that are uncategorized because they are unknown to the URL Filter.

    I submitted the linkt o Virus Total URL Scan and below is the result.

    The HTTP Proxy with Content Protection ( Yes I did select all the obvious malicious websites, spams, exploits catagory) does not flag either.

    So effectively Non of the layers in Astaro protected me

    You shouldn't expect any perimeter device to protect you from everything.

    Cheers - Bob
  • 0 in reply to BAlfson
    Bob - Congrats on that new Grand Professor of Astaro Title.

    - Just to clarify on the first point.

    - Yes these e-mails comes to the e-mail client.

    - User click on the Malicious Links.

    - These Links launches the Browser.

    - The Browser attemts to download in this case the Java Applet.
    - Other times it is Exploit Codes but not written in Java.

    - I can understand IDS/IPS not able to see this as malicious.

    - But it gets on my nerves when the Anti-Virus does not catch it.

    - I did use Block Uncatagorize (Both Under the General Tab and also Under the Specific Catagory ) but in reality, this Untagorize is too painful for my users as that database ( I think you menetioned is TrustedSource / McAfee) simply have many websites as uncatagorized.

    - I Totally Agree that we should have Defence In Depth that is why my end point is Symantec.

    - The reason I brought it up is just to verify this is common problem and not because I am doing it wrong.

    Thank You
  • 0 in reply to Alvin
    Another sample of Malicious Link that I just received.

    Again Astaro does not detect but Symantec does.

    @@ MALICIOUS LINK BELOW @@

    Intuit


    Intrusion Name
    Web Attack: Mass Injection Website
    Targeted Application
    Attack Parameter
    traduzioni.com.pl/wp-includes/int-market.html

    Hopefully Astaro would add or test these links and add more protections or get those vendors like Avira and Clam to detect it.

    Note: I am absolutely not complaining about Astaro, I know I cannot expect perimeter defence to protect everything.

    I just hope by constantly posting here promptly, Astaro would check it, Add it, Detect it and Protect us ALL .

    This forum is the only way for me to voice out.

    I would supply the link to Virus Total so that from there is distribute to the vendors.
  • 0
    I did notice that among the list of vendors at Virus Total URL Scanning 
    Trend Micro seems to often detects it quite fast as compared to the rest.
    Astaro may want to look into their current vendor?



    Normalized URL:

    Intuit



    Detection ratio:

    1 / 20



    Analysis date:

     2012-03-02 11:51:19 UTC ( 0 minutes ago ) 













    0



    0

     





    URL Scanner

    Result




    Avira

    Clean site



    BitDefender

    Clean site



    CLEAN MX

    Clean site



    Dr.Web

    Clean site



    G-Data

    Clean site



    Google Safebrowsing

    Clean site



    Malc0de Database

    Clean site



    MalwareDomainList

    Clean site



    Opera

    Clean site



    ParetoLogic

    Clean site



    Phishtank

    Clean site



    SCUMWARE.org

    Clean site



    SpyEyeTracker

    Clean site



    TrendMicro

    Malicious site



    URLQuery

    Unrated site



    VX Vault

    Clean site



    Websense ThreatSeeker

    Unrated site



    Wepawet

    Unrated site



    Yandex Safebrowsing

    Clean site



    ZeusTracker

    Clean site
  • 0 in reply to Alvin
    Hopefully submitting to VirusTotal is the Right thing to do to get those vendors updated.
    I am not sure if Astaro's vendor is on the list of not.

    Normalized URL:

    marcors.com.br/.../index.html



    Detection ratio:

    3 / 19



    Analysis date:

     2012-03-02 15:18:37 UTC ( 0 minutes ago ) 













    0



    0

     





    URL Scanner

    Result




    Avira

    Clean site



    BitDefender

    Malware site



    CLEAN MX

    Clean site



    G-Data

    Clean site



    Google Safebrowsing

    Clean site



    Malc0de Database

    Clean site



    MalwareDomainList

    Clean site



    Opera

    Clean site



    ParetoLogic

    Clean site



    Phishtank

    Clean site



    SCUMWARE.org

    Clean site



    SpyEyeTracker

    Clean site



    TrendMicro

    Malicious site



    URLQuery

    Unrated site



    VX Vault

    Clean site



    Websense ThreatSeeker

    Malicious site



    Wepawet

    Unrated site



    Yandex Safebrowsing

    Clean site



    ZeusTracker

    Clean site
  • 0
    Thanks for keeping the fire under Astaro!  [:)]

    I'll be interested to see how the new Sophos tools compare in V9.

    Cheers - Bob
    PS You can submit to Astaro's supplier: TrustedSource - select 'SmartFilter XL'.
  • 0 in reply to BAlfson
    Bob

    - I have to admit during all these test as in purposely clicking on spam e-mails and malicious links, I am looking forward to see things like

    IDS/IPS Detected Malicious Packets and Intercepted, weee I am protected.
    But in reality - I get tons of False Alarms.

    HTTP Proxy Antivirus Protection (Avira and Clam) Catch those that confimed Malicious Codes which as proven does NOT Catch at all.

    If all the above does not catch, my last hope at Astaro is Content Protection whereby I have the following catagory enabled for Security Threats, do advice me if there is a certain Security Catagory that I missed out.

    •Anonymizers
    •Anonymizing Utilities
    •Browser Exploits
    •Categorization failed
    •Hacking/Computer Crime
    •Illegal Software
    •Malicious Downloads
    •Malicious Sites
    •P2P/File Sharing
    •Parked Domain
    •Phishing
    •Spam URLs
    •Spyware/Adware

    I also Enabled 

    1) Block Spyware infection and communication
    2) Block URLs with a reputation below a threshold of Suspicious
    3) Google, Yahoo and BING SAFE Search ON.

    4) I CANNOT Enable Block access to uncategorized websites because the database Astaro use simply have too many uncategorized websites, sometime even CNBC is Blocked.

    Still Non of the layers is catching it.

    Am I expecting too much out of Astaro?

    For people who have OTHER Perimeter Security, can you test out those malicious sites?


    - That McAfee TrustedSource is such a pain to submit.
    - Look at VirusTotal - submit to one website so easily, just past the URL.


    - On Yeah, I look forward to SOPHOS Engine too but I have to say I hate the new "white" corporate color as compared to previous Black ones.

    - I hate the new Logo too which does not have a version suitable for dark background namecards or marketing materials.

    But I have to live with it because so far the product is Good, just that when comes to marketing, it is amazing how people go and change something that looks good.
  • 0 in reply to Alvin
    DSHIELD has a detailed writeup on the specific malicious link I mentioned.

    ISC Diary | Phishing with obfuscated javascript, shellcode and malware