Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 6620 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS reports Conficker A/B DNS traffic... false positive ?

ChrisW28
Hello,

i have some problems at the moment with my ASG. The IPS reports detected Conficker AB traffic, but after some scans i am sure, that there is no infection on the reported client. I captured some packets with Wireshark, and for me the reported packets look like standard dns queries.

ASG Info Mail:

Intrusion Prevention Alert

An intrusion has been detected. The packet has been dropped automatically.
You can toggle this rule between "drop" and "alert only" in WebAdmin.

Details about the intrusion alert:

Message........: BAD-TRAFFIC Conficker A/B DNS traffic detected
Details........: www.snort.org/.../15449
Time...........: 2010:12:03-08:13:57
Packet dropped.: yes
Priority.......: 1high
Classification.: A Network Trojan was detected
IP protocol....: 17 (UDP)

Source IP address: 192.168.6.166 
www.dnsstuff.com/.../ptr.ch
www.ripe.net/.../whois
ws.arin.net/.../whois.pl
cgi.apnic.net/.../whois.pl
Source port: 63187
Destination IP address: 192.168.6.66 (thor)
www.dnsstuff.com/.../ptr.ch
www.ripe.net/.../whois
ws.arin.net/.../whois.pl
cgi.apnic.net/.../whois.pl
Destination port: 53 (domain)
        

-- System Uptime : 1 days 17 hours 54 minutes System Load : 0.08 System Version : Astaro Security Gateway Software 8.003 Please refer to the manual for detailed instructions. 


The UDP packet from port 63187 in wireshark:
see attached image

It seems only to happen while looking up the A-Record of mscrl.microsoft.com. I tried from another host in my network (including dd-wrt router) with the same error. 


The Windows Client:
C:\>nslookup mscrl.microsoft.com
Server:  UnKnown
Address:  192.168.6.66

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an UnKnown.

the dd-wrt router (linux based, so no target for conficker) just times out with no dns response.
root@ddwrt:~# nslookup mscrl.microsoft.com
Server:    192.168.6.66
Address 1: 192.168.6.66
root@ddwrt:~#

external linux server (not protected by ASG) 
user@srv01:~$ nslookup mscrl.microsoft.com
Server:         213.133.98.98
Address:        213.133.98.98#53

Non-authoritative answer:
mscrl.microsoft.com     canonical name = certrevoc.vo.msecnd.net.
Name:   certrevoc.vo.msecnd.net
Address: 94.245.68.201
Name:   certrevoc.vo.msecnd.net
Address: 94.245.68.202

The ASG self:
mscrl.microsoft.com is an alias for certrevoc.vo.msecnd.net.

certrevoc.vo.msecnd.net has address 94.245.68.172

certrevoc.vo.msecnd.net has address 94.245.68.166



I can reproduce the IPS-Prevention Alert with all network clients, simply by invoking "nslookup mscrl.microsoft.com"

false positive, or error in snort ?

ASG Infos:
IP: 192.168.6.66
Firmware-Version: 8.003
Patternversion: 20796
IPS: All attack patterns enabled.


This thread was automatically locked due to age.
  • 0
    I can confirm this:

    2010:12:03-11:54:25 asg_v8 snort[27302]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="BAD-TRAFFIC Conficker A/B DNS traffic detected" group="241" srcip="192.168.1.10" dstip="192.168.1.1" proto="17" srcport="49699" dstport="53" sid="15449" class="A Network Trojan was detected" priority="1"  generator="3" msgid="0"

    2010:12:03-11:54:27 asg_v8 snort[27302]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="BAD-TRAFFIC Conficker A/B DNS traffic detected" group="241" srcip="192.168.1.10" dstip="192.168.1.1" proto="17" srcport="49700" dstport="53" sid="15449" class="A Network Trojan was detected" priority="1"  generator="3" msgid="0"
  • 0
    Have the same problem mscrl.microsoft.com produces the alert
  • 0 in reply to yozh
    Dear All,

    does this blocking have any effect on the Windows Clients or Servers which request the DNS-entry?

    Did you try to disable the snort-rule 15449?
  • 0 in reply to cstich
    @cstitch, it appears that the lookup to mscrl.microsoft.com is used by windows clients to check that they have internet access, I am not sure what else it is used for apart from this.

    Anyway I am having the same issue with the snort rule, I have temporarily disabled rule 15449 (after I was sure that it was not conficker related) as I was getting a flood of email alerts.

    Maybe a recent snort update caused the issue ? have not had this issue before today.
  • 0 in reply to YellowMonkey05
    Yep, False positive; only choice is to disable the rule or set it to alert only, no notifications.  I've been seeing it too.
  • 0 in reply to BrucekConvergent
    Forgot to add; I have reported this to Astaro Support, so they could disable / modify the rule as necessary in future up2date deployed IPS rulesets.
  • 0 in reply to BrucekConvergent
    Hi Folks,

    this is an false positive probably caused by a recent Microsoft Update. Please find a description in our Knowledge base under 

    https://support.astaro.com/support/index.php/IPS_is_blocking_DNS-queries_as_BAD_TRAFFIC_ConfickerAB_DNS_traffic_detected


    We will investigate further and decide, how we will handle this one. Once we have news, we will let you know. Until then, please create an exception for this rule that the traffic is not blocked anymore.

    Cheers
    Dominic
  • 0 in reply to dschmidl
    I have looked a little more at mscrl.microsoft.com and it is part of the procedure which verifies or revokes digital certificates for Web sites and programs so this is not something you would want ips/snort to block as it may cause your machine to accept a certificate or a digital signature that has been revoked by Microsoft.

    I have now set rule 15449 Action: Alert, Notify off

    I cannot see any reason why this domain is now being tagged by this ips rule, I have searched MS Technet and cannot find any recent updates that changed the certificate authentication system, does anyone know why this suddenly started alerting ?
  • 0 in reply to YellowMonkey05
    Wow.... Thanks. I was about to rebuild 3 boxes from scratch. 

    Mike
  • 0
    Thank God I'm not the only one experiencing this, thanks for posting this.  Bloody Microsoft.


    Regards,

    Jon.