Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 20707 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM Botnet/command-and-control traffic detected

RichardHughes
Hi,

I have been doing some work today with my Sophos UTM. After loading the Dashboard, it appears that Advanced Threat Protection has detected Botnet/command-and-control traffic, on my network. After looking at the log, it appears that this activity is coming from three hosts, a laptop and two domain controllers (primary & secondary). I have looked at the live log for Advanced Threat Protection, and I have discovered that this traffic is being forwarded onto 194.168.4.100, which is Virgin Media's primary DNS server.

I have scanned the laptop and the two domain controllers with the Sophos Virus Removal Tool and all hosts report to be clean.


Screenshot from the Sophos UTM Dashboard


Screenshot from Recent Events


Screenshot from the Live Log, showing traffic from 10.0.2.14 (LAPTOP), going to 10.0.1.13 (PRIMARY DC/DNS) and traffic from 10.0.1.14 (SECONDARY DC/DNS) to 194.168.4.100 (VIRGIN MEDIA PRIMARY DNS).


Would this be a false positive? [:S]


This thread was automatically locked due to age.
  • 0
    nopers i would have your laptop checked.
  • 0 in reply to William Warren
    In my experience, anything going to *.sytes.net is detected as threat.
  • 0
    Thanks for your responses. There appears to have been no activity today in regards to Advanced Threat Protection. I had completed a scan on both the laptop and the two DC's, but nothing was detected. I had used Endpoint (Installed on all clients and servers), and the Sophos Virus Removal Tool. I've blocked the root domain, not sure if this will have any effect though. I'll keep an eye on this and I'll check the logs regularly. If I see any more of these events occur, from the laptop, then I'll give the laptop a re-image. [:)]

    Cheers
    Richard
  • 0
    Personally, I'd be much more concerned about the DC's than a laptop.  A laptop re-image is a minor pain, a domain rebuild is a major PITA.  Run some other vendors free tool too, just to be on the safe side.
  • 0
    Scanned both DCs and the laptop with various 3rd party tools, no infections detected on either host. These alerts are still coming through now and then. I found another thread on here, where somebody else is experiencing the exact same issue, going to the exact same destination - https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/46715. Not really sure where to go from this now, should I setup a mirror port on one of my switches and run wireshark on that port?
  • 0
    did you scan them from INSIDE windows?  if so then you won't catch it if it's a good trojan or rootkit.  Use a bootdisk/stick of sophos then of something else like avg and scan them from outside of the operating systems.  If you do not find anything then i would get support involved.  It could be a false positive but i doubt it.
  • 0 in reply to William Warren
    did you scan them from INSIDE windows?  if so then you won't catch it if it's a good trojan or rootkit.  Use a bootdisk/stick of sophos then of something else like avg and scan them from outside of the operating systems.  If you do not find anything then i would get support involved.  It could be a false positive but i doubt it.


    Thanks for responding William. I had ran a scan outside of Windows also (good suggestion by the way!) but this also picked up nothing, did this for both DCs and the laptop. I've discovered that the UTM actually reports this "Botnet" traffic even from my iPhone when I simply browse the destination host which the UTM is reporting as Botnet traffic, via Safari. This is one of these problems where I'll spend all week until I work out what the hell is going on!
  • 0
    in this case the site might be labeled as a malicious site and may not necessarily means the mahcine are compromised..unless the machine are going to that site by themselves..then you may have an issue.