Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 7112 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

conficker access not detected or blocked

Mast_01
Hello,
i'm having a bit of an "infestation" on a customer network that has lead the public IPs to be blocked on spamhaus CBL as they connected to conficker honeypots.
now this happened before UTM was installed...

Yesterday morning we insalled 9.203, activated ALL protection options(IPS with full ruleset for OS -no time shortening-, advanced botnet, webfilter with dual AV, below suspicious block, antispyware).

yet to my surprise i check CBL today and it has blocked the public ip AGAIN with access last night(post UTM), and UTM never detected anything!.

HTTP direct output is blocked, all browsing must go out via the http proxy

i checked the honeypot IP against the log and guess what?, passed... 


/var/log/http/2014/06/http-2014-06-25.log.gz:2014:06:25-14:16:19 utm httpproxy[5552]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.3.215" dstip="216.66.15.109" user="" statuscode="404" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0x9f9eee0" url="216.66.15.109/search

/var/log/http/2014/06/http-2014-06-25.log.gz:2014:06:25-14:16:21 utm httpproxy[5552]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.3.215" dstip="216.66.15.109" user="" statuscode="404" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0x2593f540" url="216.66.15.109/search


so, WHY is UTM not even detecting the infestation?, let alone blocking it as it should(with the new fabled "advanced threat protection" which at this point still says "all green OK").
it's not an obscure virus or botnet, it's a well-known scourge yet.. nothing!


This thread was automatically locked due to age.
Parents
  • 0
    From my experience of testing the blocking the so called "advanced threat protection" labels your system as having a BOT if it visits the IP of the known C&C.  IF the C&C addy is not in their database then it won't list it as BAD so it will be smooth green sailing.
    Went to that IP, WOT detected it as baddie but my Sophos UTM stayed green.
    As of a min ago only websense detects it as a baddy:

    So unless they are using websense as their IP black lister then the Sophos UTM won't detect the PC comms as a bot.

    P.S.
    A single visit to a known bad IP of a C&C is enough to label that PC as having a BOT.

    For those who are click link weary here is a copy paste of the results:


    Websense ThreatSeeker	Malicious site
    ADMINUSLabs	Clean site
    AegisLab WebGuard	Clean site
    AlienVault	Clean site
    Antiy-AVL	Clean site
    AutoShun	Unrated site
    Avira	Clean site
    BitDefender	Clean site
    C-SIRT	Clean site
    CLEAN MX	Suspicious site
    CRDF	Clean site
    Comodo Site Inspector	Clean site
    CyberCrime	Clean site
    Dr.Web	Clean site
    ESET	Clean site
    Emsisoft	Clean site
    Fortinet	Unrated site
    FraudSense	Clean site
    G-Data	Clean site
    Google Safebrowsing	Clean site
    K7AntiVirus	Clean site
    Kaspersky	Unrated site
    Malc0de Database	Clean site
    Malekal	Clean site
    Malware Domain Blocklist	Clean site
    MalwareDomainList	Clean site
    MalwarePatrol	Clean site
    Malwarebytes hpHosts	Clean site
    Malwared	Clean site
    Netcraft	Unrated site
    Opera	Clean site
    PalevoTracker	Clean site
    ParetoLogic	Clean site
    Phishtank	Clean site
    Quttera	Clean site
    SCUMWARE.org	Clean site
    SecureBrain	Clean site
    Sophos	Unrated site
    SpyEyeTracker	Clean site
    StopBadware	Unrated site
    Sucuri SiteCheck	Clean site
    Tencent	Clean site
    ThreatHive	Clean site
    URLQuery	Unrated site
    VX Vault	Clean site
    Webutation	Clean site
    Wepawet	Unrated site
    Yandex Safebrowsing	Clean site
    ZCloudsec	Clean site
    ZDB Zeus	Clean site
    ZeusTracker	Clean site
    malwares.com URL checker	Clean site
    zvelo	Clean site
Reply
  • 0
    From my experience of testing the blocking the so called "advanced threat protection" labels your system as having a BOT if it visits the IP of the known C&C.  IF the C&C addy is not in their database then it won't list it as BAD so it will be smooth green sailing.
    Went to that IP, WOT detected it as baddie but my Sophos UTM stayed green.
    As of a min ago only websense detects it as a baddy:

    So unless they are using websense as their IP black lister then the Sophos UTM won't detect the PC comms as a bot.

    P.S.
    A single visit to a known bad IP of a C&C is enough to label that PC as having a BOT.

    For those who are click link weary here is a copy paste of the results:


    Websense ThreatSeeker	Malicious site
    ADMINUSLabs	Clean site
    AegisLab WebGuard	Clean site
    AlienVault	Clean site
    Antiy-AVL	Clean site
    AutoShun	Unrated site
    Avira	Clean site
    BitDefender	Clean site
    C-SIRT	Clean site
    CLEAN MX	Suspicious site
    CRDF	Clean site
    Comodo Site Inspector	Clean site
    CyberCrime	Clean site
    Dr.Web	Clean site
    ESET	Clean site
    Emsisoft	Clean site
    Fortinet	Unrated site
    FraudSense	Clean site
    G-Data	Clean site
    Google Safebrowsing	Clean site
    K7AntiVirus	Clean site
    Kaspersky	Unrated site
    Malc0de Database	Clean site
    Malekal	Clean site
    Malware Domain Blocklist	Clean site
    MalwareDomainList	Clean site
    MalwarePatrol	Clean site
    Malwarebytes hpHosts	Clean site
    Malwared	Clean site
    Netcraft	Unrated site
    Opera	Clean site
    PalevoTracker	Clean site
    ParetoLogic	Clean site
    Phishtank	Clean site
    Quttera	Clean site
    SCUMWARE.org	Clean site
    SecureBrain	Clean site
    Sophos	Unrated site
    SpyEyeTracker	Clean site
    StopBadware	Unrated site
    Sucuri SiteCheck	Clean site
    Tencent	Clean site
    ThreatHive	Clean site
    URLQuery	Unrated site
    VX Vault	Clean site
    Webutation	Clean site
    Wepawet	Unrated site
    Yandex Safebrowsing	Clean site
    ZCloudsec	Clean site
    ZDB Zeus	Clean site
    ZeusTracker	Clean site
    malwares.com URL checker	Clean site
    zvelo	Clean site
Children
No Data