Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 2 subscribers
  • Views 13646 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS / ATP reports a virus on our server! (9.305-4)

luckman212
Yesterday and into today, getting hourly alerts from UTM220 9.305-4 about one of our internal (firewalled) Terminal Servers containing a "C2/Generic-A" bit of malware:

[FONT="Courier New"][CRIT-861] Advanced Threat Protection Alert

Advanced Threat Protection

A threat has been detected in your network
The source IP/host listed below was found to communicate with a potentially malicious site outside your company.

Details about the alert:

Threat name....: C2/Generic-A
Details........: h**p://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/C2~Generic-A.aspx
Time...........: 2014-12-19 17:01:28
Traffic blocked: yes

Internal source IP address or host: 192.168.***.***

GW1/OrgName/OrgLocation


-- 
HA Status          : CLUSTER MASTER (node id: 2)
System Uptime      : 1 day 23 hours 28 minutes
System Load        : 0.60
System Version     : Sophos UTM 9.305-4

Please refer to the manual for detailed instructions.

The send limit for this notification has been reached. No further
notifications of this type will be sent during this period.[/FONT]

I am skeptical as this server is pretty "locked down" but am running the Sophos scanner tool on it now- nothing has been found yet. Question is- how can I find out more about what is triggering this activity? Could it be a false positive? Anyone else getting these alerts in the past ~2 days? 

In the past I've gotten these about various workstations on the LAN and usually finding and cleaning the culprit was pretty easy. This is the first time I've seen an alerts from a server which is making me uneasy - especially with the "North Korean mega-hack" news flying around [:)]


This thread was automatically locked due to age.
Parents
  • 0
    It took almost an entire day but the scan on the 2 servers finally completed - there were actually some baddies on each of them.  MBAM & Sophos scanner ran on both and each turned up a few things (cleaned) - after cleaning and rebooting both of them the alerts have stopped. We have the servers pretty locked down so I am thinking these were rogue javascripts or something that maybe hijacked a browser session or just other non-UAC apps that simply connected to the C&C network. I forcefully killed all running iexplore.exe, chrome.exe and firefox.exe instances to be safe.

    Anyway cheers to the UTM for flagging this, I would never have spotted it otherwise!


Reply
  • 0
    It took almost an entire day but the scan on the 2 servers finally completed - there were actually some baddies on each of them.  MBAM & Sophos scanner ran on both and each turned up a few things (cleaned) - after cleaning and rebooting both of them the alerts have stopped. We have the servers pretty locked down so I am thinking these were rogue javascripts or something that maybe hijacked a browser session or just other non-UAC apps that simply connected to the C&C network. I forcefully killed all running iexplore.exe, chrome.exe and firefox.exe instances to be safe.

    Anyway cheers to the UTM for flagging this, I would never have spotted it otherwise!


Children
  • 0 in reply to luckman212
    Well this morning (Monday morning) the alerts are back for both servers .21 and .24 [:@]

    I am again thinking this is somehow a malicious script that's running in a users' browser session. But I am really at a loss as to how to track this down further.
  • 0 in reply to luckman212
    Luckman - I just cleared 5 computers of this.  Its "Poweliks" - a very sneaky infection.  Essentially an annoying trojan that hides in the registry and is immune to most scanners.  I think Sophos just pushed an update to ATP to detect it, as it seems weird 5 computers got it on the same day.

    Do the following to clear it.

    1) Run Poweliks removal tool by ESET.  It found traces on three of my five infected computers.  How do I remove a Poweliks infection? - ESET Knowledgebase

    2) Run MalwareBytes Anti-Malware.  I downloaded and used free version right from their site.  Not as useful as the next scanner but it did help.  https://www.malwarebytes.org/

    3) Run MalwareBytes Anti-RootKit.  This is the key - and was 100% necessary on all of my computers to completely clean them  https://www.malwarebytes.org/antirootkit/

    4) Go into IE on each computer, and reset all settings/security zones, then reboot.  First, go into Internet Options, then Advanced, then "Reset Internet Explorer Options".  Then go into "Security" tab and "Reset all zones".  The browser resets are MANDATORY.  The leftovers of the trojan will continue to ping the internet and cause the UTM alerts if you don't reset the browsers.  If you aren't using IE exclusively, do the equivalent factory reset for each other browser.

    PM me if you need more help.  Took forever to get it off, but all 5 computers have now stopped kicking alerts.

    -Jim
  • 0 in reply to Jimstigator
    As searching the source of infection in the logs may be hard work under circumstances I'd recommend to harden your UTM settings in front of it in some ways (if not already done) to higher the chance to block the malware before it gets downloaded and installed.

    From the listed malware types I'd expect http / https webtraffic as most likely guilty source. Therefor

    - Use UTMS Web Proxy incl. HTTPS scan active
    - Block at least following categories in the web proxy (Some of them are in none of the default categories):
       - Browser Exploits
       - Malicious Downloads
       - Malicious Sites
       - Phishing
       - Spam URLs
       - Spyware/Adware
       - Web Ads
       which is a good base. There also can Anonymizers, PUA etc. be added.
    - IDS/IPS for the network where the servers are residing. At least check the OS category (windows), the whole client software, protocol anomaly and Malware categories. For beginnig without time limit (never know, if a old, outdated software is the hole for your malware...)
    - ATP obviously is already on [;)]
    - Depending on the load maybe at least temporarily activating dual scan for the web proxy may also help identifying the source of your malware
    - In general avoid Internet Explorer, if possible, and Use Chrome, Firefox, Opera, whatever...

    In general you can try to search UTM logfiles as http proxy for the filenames of the malware found on the system. If it wasn't post downloaded by a separate, temporary "drive-by" malware downloader, there's a sometimes a chance to find the source of the malware in the logs.

    Is the server also providing services to the outside world / internet via DNAT or similar ?

    There are lot more options as narrowing down unproxied access to internet by using all those proxies on the UTM as POP3, FTP, Socks etc., which adds AV scanning and logging in best case, or at least logging and a proxied access as Socks does.

    If Sophos Endpoint is in use on those servers, the patch assessement feature also may help outdated / vulnerable software on those systems ==> http://www.sophos.com/en-us/medialibrary/PDFs/factsheets/sophosendpointpatchassessmentdsna.pdf

    Hope those ideas are a start to keep your systems clean in the future [H]
  • 0 in reply to Jimstigator
    Luckman - I just cleared 5 computers of this.  Its "Poweliks" - a very sneaky infection.  

    thanks kindly for your help -- what a nightmare this has been! but thanks to your help I think I am seeing the light at the end of the tunnel.  Followed some of the links you posted and I did find the Poweliks on one of the servers (still at a loss as to how it got there...) and was cleaned.  Ran a number of antispyware + rootkit detectors and they are all coming up clean now. Server is behaving "ok" for now. Ran multiple passes of SFC /scannow + CHKDSK, all clean. Changed Administrator + Domain Admin passwords to be safe.  I am just going to play it by ear tomorrow and see if the UTM kicks out any more alerts.  Cheers
  • 0 in reply to luckman212
    Ah - Poweliks. Have quickly read some descriptions about it...crappy stuff with null character registry entries...

    Sophos Information on malware known as Poweliks

    Hope you got all those registry entries cleaned up and UTM configured to keep you clean in the future [;)]