Advanced Threat Protection: Google DNS (8.8.8.8) false Positive

Yep - seeing lots of APT alerts for Google's A DNS server. Their B server (8.8.4.4) does not appear to be affected.

-Thomas

This is obviously a false positive.  If you have a paid license, open up a case with Sophos support to let them know.

Just had one here in the UK... from our internal PBX to 8.8.8.8...

Obviously a false positive. I haven't created an exception for it (yet)...

Yup. just add a exemption for it
It actually is a good rule if you don't have your organization set to use public DNS servers.

Happening on every UTM we've installed and get notifications for.

Also getting this issue.

Its an interesting alert as all my devices should be using my DC for DNS which then forwards the request out to OpenDNS.

However, all my android devices are making a direct connection to Google's DNS servers.  Not best pleased they seem to be bypassing my DHCP scope settings.

As such I've actually put a block in to Google DNS from inside my network.  Hope this won't affect the devices but not best pleased this is happening.  I'm more annoyed at google than I was at getting the alerts!

Odd how an issue like this can identify things you're not expecting!

For information a ping also triggers this alert.

Guessing we'll get an update soon to resolve.

I've talked with support and they're getting their teams to look at it.  No ETA on it though.

All afternoon my Advanced Threat Protection has been emailing me:

Advanced Threat Protection

A threat has been detected in your network The source IP/host listed below was found to communicate with a potentially malicious site outside your company.

Details about the alert:

Threat name....: C2/Generic-A
Details........: http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/C2~Generic-A.aspx
Time...........: 2015-04-30 17:02:10
Traffic blocked: yes

Source IP address or host: 10.10.160.229
        
-- 
System Uptime      : 17 days 9 hours 38 minutes
System Load        : 0.29
System Version     : Sophos UTM 9.310-11

Please refer to the manual for detailed instructions.


I look in my logs to find hundreds of entries:
 
2015:04:30-16:00:42 ulogd[13308]: id="2022" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped (ATP)" action="drop" fwrule="63001" initf="eth0.173" threatname="C2/Generic-A" srcmac="00:0d:c5:XX:XX:XX" dstmac="00:15:17:XX:XX:XX" srcip="10.10.160.229" dstip="8.8.8.8" proto="17" length="65" tos="0x00" prec="0x00" ttl="64" srcport="39325" dstport="53"

Live log shows:
17:18:09 IPTables UDP C2/Generic-A 
10.10.160.229 : 56216 
 → 
8.8.8.8 : 53 
 drop 

I count at least 8 devices, different subnets, even different vlans setting off this alert.  I don't recall anything that I have changed recently.

Any ideas?

I am here for the same reason. Sophos thinks my TV set top box is infected probably when accessing Google DNS.

Saludos

Antes de esto tuve transito masivo por mi DNS esto esta relacionado con ello, tengo varias maquinas que hacen estos llamados, alguien sabe que sucede.
Gracias

regards

Before this I had my DNS mass transit, this is related to this, I have several machines that make these calls, anyone knows what happens.
thanks