Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 7106 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

conficker access not detected or blocked

Mast_01
Hello,
i'm having a bit of an "infestation" on a customer network that has lead the public IPs to be blocked on spamhaus CBL as they connected to conficker honeypots.
now this happened before UTM was installed...

Yesterday morning we insalled 9.203, activated ALL protection options(IPS with full ruleset for OS -no time shortening-, advanced botnet, webfilter with dual AV, below suspicious block, antispyware).

yet to my surprise i check CBL today and it has blocked the public ip AGAIN with access last night(post UTM), and UTM never detected anything!.

HTTP direct output is blocked, all browsing must go out via the http proxy

i checked the honeypot IP against the log and guess what?, passed... 


/var/log/http/2014/06/http-2014-06-25.log.gz:2014:06:25-14:16:19 utm httpproxy[5552]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.3.215" dstip="216.66.15.109" user="" statuscode="404" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0x9f9eee0" url="216.66.15.109/search

/var/log/http/2014/06/http-2014-06-25.log.gz:2014:06:25-14:16:21 utm httpproxy[5552]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.3.215" dstip="216.66.15.109" user="" statuscode="404" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0x2593f540" url="216.66.15.109/search


so, WHY is UTM not even detecting the infestation?, let alone blocking it as it should(with the new fabled "advanced threat protection" which at this point still says "all green OK").
it's not an obscure virus or botnet, it's a well-known scourge yet.. nothing!


This thread was automatically locked due to age.
Parents
  • 0
    Can you please try the following:

    Go to Network Protection, Intrusion Prevention.
    Turn it on for your local network.
    Go to Attack Patterns.
    Set Malware (at the bottom) to no time limit and add extra warnings.
  • 0 in reply to Michael Dunn
    Can you please try the following:
    Go to Network Protection, Intrusion Prevention.
    Turn it on for your local network.
    Go to Attack Patterns.
    Set Malware (at the bottom) to no time limit and add extra warnings.


    no change, conficker traffic is still passing through ,this is from yesterday and today to a conficker honeypot: 

    2014:07:02-22:20:10 --- 192.168.3.173 pass Uncategorized http://38.229.177.220/search?q=88

    2014:07:03-08:27:54 --- 192.168.3.97 pass Uncategorized http://38.229.177.220/search?q=192

    2014:07:03-10:09:22 --- 192.168.0.170 pass Uncategorized http://38.229.177.220/search?q=132


    why isn't any of the protection features detecting the URL query signature this thing is using.

    if i expand the log search for that particular query type i see some blocks due to Malicious sites but i also see a lot of "blocks" with no reason and if i inspect further i see they are "error="Connection to server timed out"" which means it was a pass but the CnC was down
  • 0 in reply to Mast_01
    Hi Mast, I feel your pain. One of my XP VMs got infected with conficker and from there it went to some windows 7 machines also. I didn't even realize that I was infected because sophos was showing all good and green. What got my attention was that I use opendns and it had thousands of drops for botnet activity.

    In my opinion, sophos botnet protection is not fully baked yet. It may catch an infection every now and then but the detection rate is really low. Your best bet is to quarantine the infected machines and clean them using Gmer or something similar.

    You can also use opendns with botnet protection to get some relief but sooner or later those machines will have to be cleaned.
Reply
  • 0 in reply to Mast_01
    Hi Mast, I feel your pain. One of my XP VMs got infected with conficker and from there it went to some windows 7 machines also. I didn't even realize that I was infected because sophos was showing all good and green. What got my attention was that I use opendns and it had thousands of drops for botnet activity.

    In my opinion, sophos botnet protection is not fully baked yet. It may catch an infection every now and then but the detection rate is really low. Your best bet is to quarantine the infected machines and clean them using Gmer or something similar.

    You can also use opendns with botnet protection to get some relief but sooner or later those machines will have to be cleaned.
Children
No Data