Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 8785 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[9.306]Strange report

RFCat_vk_01
Hi folks,
i have just received an e-mail from the UTM advising of an ATP event. The log also shows the same event.

But there is nothing to show the internal destination address.


2015:01:24-14:25:02 cats-kingdom afcd[22855]: id="2022" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet dropped (ATP)" srcip="92.42.36.58" dstip="114.198.43.220" fwrule="63001" proto="17" threatname="C2/Generic-A" status="1" host="199.26.84.175" url="-" action="drop" 

The following is from the e-mail message.

"Advanced Threat Protection

A threat has been detected in your network
The source IP/host listed below was found to communicate with a potentially malicious site outside your company.

Details about the alert:

Threat name....: C2/Generic-A
Details........: C2/Generic-A - Viruses and Spyware - Web Threat, Virus and Spyware Detection and Removal | Sophos - Threat Center - Cloud Antivirus, Endpoint, UTM, Encryption, Mobile, DLP, Server, Web, Wireless Security, Network Storage and Next-Gen Firewall Solutio
Time...........: 2015-01-24 14:25:02
Traffic blocked: yes

Internal source IP address or host: 92.42.36.58"

Anyone with an idea as to where to look for the internal IP address?

Ian

And there is more - the webadmin shows a different address.

Just add moire mystery to the posting, both active devices on the network are MACs running 10.10.x. According to Sophos, this is a Wx nasty only.
1st Feb 15 - forgot that i have a smb ms2012 server running in the vm with the UTM and SUM.


This thread was automatically locked due to age.
  • 0
    Umm, Ian, haven't your neighbors been complaining recently about that space-time warp in your mancave?  92.42.36.58 is the other end of the portal in your room in Izmir, Turkey.  I love it when I can solve a mystery for a friend. [:D]

    Cheers - Bob
    PS Yes, I saw one of these on Friday from one of my clients, not with the same IP, but definitely a public IP unrelated to them.  I wonder if this might be a real issue - has some genius figured a way to trick ATP (and similar tools) into identifying the wrong source?
  • 0 in reply to BAlfson
    Funny you should say that Bob, my neighbors are going to Turkey shortly so this will be  short way home for them?.

    Ian[:)]
  • 0
    Hi guys, I am now seing this at clients UTM 9.306  Details about the alert:  Threat name....: C2/Generic-A Details........: http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/C2~Generic-A.aspx Time...........: 2015-01-27 01:12:46  Traffic blocked: yes  Internal source IP address or host: 80.82.64.37    Hmm....  

    Update: now got it on my own UTM with same ip!

    Sent from my iPhone using Astaro.org
  • 0 in reply to twister5800
    Hi Bob, Martin,
    have either of you started support case with Sophos support on this?

    Ian
  • 0 in reply to RFCat_vk_01
    Hi Bob, Martin,
    have either of you started support case with Sophos support on this?

    Ian


    yup - I have [:)]

    ATP log:

    2015:01:27-01:12:48 fw02 afcd[8759]: id="2022" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet dropped (ATP)" srcip="80.82.64.37" dstip="***.***.***.***" fwrule="63001" proto="17" threatname="C2/Generic-A" status="1" host="hfresolver.com" url="-" action="drop"

    dstip is my WAN link IP.
  • 0
    Also running Sophos Endpoint Protection UTM, gives this when I open the URL:

    High Risk Website Blocked
    Location: hfresolver.com
    Access has been blocked as the threat C2/Generic-A has been found on this website.
    Return to the page you were previously viewing.
  • 0
    From Sophos Labs:

    C2/Generic-A is the threat name associated with the command and control (C&C) servers used by malware.

    Note: C2/Generic-A is not detection of a malware payload on an infected machine.

    Instead it indicates Sophos products blocking network traffic (reputation or IPS filtering) to a remote machine believed to be a C&C server. The alert indicates that a machine within the network is compromised with malware.
  • 0 in reply to twister5800
    Hi Martin,
    I read that during  my investigation and could not workout how I could have two different addresses way outside of the ranges I use or my ISP use showing as calling home?

    As Bob asks, how do you determine which of the devices on your network has the infection? And as I have MACs only at the moment, how do I detect which one is infected. At the time the message came through, one MAC was asleep and the other was on another UTM.

    Ian
  • 0
    Hi Ian,

    I think, as Bob says, someone tricked the ATP or maybe there is a bug in the software, I mean the IP shows as SOURCE, and it's definately from the Internet, I traced it back to the Netherlands, and it's going TO my WAN IP, it's like the ATP has gone two-way now [:O]
  • 0
    Hi,
    I got the same ATP warning with the same ip.

    host: 80.82.64.37. C2/Generic-A  Destination: hfresolver.com  source: AFCd

    poldy