Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 26 replies
  • Subscribers 1 subscriber
  • Views 24905 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ATP reports DNS requests as malicious"

Chris69
Maybe it has something to do with this Thread - but I am not sure.

Since upgrading from 9.2x to 9.307 yesterday I do get ATP warnings:

e.g.
A threat has been detected in your network
The source IP/host listed below was found to communicate with a potentially malicious site outside your company.

Details about the alert:

Threat name....: C2/Generic-A
Details........: C2/Generic-A - Viruses and Spyware - Web Threat, Virus and Spyware Detection and Removal | Sophos - Threat Center - Cloud Antivirus, Endpoint, UTM, Encryption, Mobile, DLP, Server, Web, Wireless Security, Network Storage and Next-Gen Firewall Solutio
Time...........: 2015-02-10 08:24:53
Traffic blocked: no

Internal source IP address or host: 192.168.0.38

.38 and .39 are our internal DNS.

The logfiles shows following details: 

/var/log/aptp.log:2015:02:11-15:06:49 berlin-1 afcd[16209]: id="2023" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet logged (ATP)" srcip="192.168.0.38" dstip="213.218.169.74" fwrule="63001" proto="17" threatname="C2/Generic-A" status="1" host="panthera.sytes.net" url="-" action="alert"

/var/log/aptp.log:2015:02:11-15:07:50 berlin-1 afcd[16209]: id="2023" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet logged (ATP)" srcip="192.168.0.39" dstip="50.31.129.129" fwrule="63001" proto="17" threatname="C2/Generic-A" status="1" host="panthera.sytes.net" url="-" action="alert"

/var/log/aptp.log:2015:02:11-15:07:50 berlin-1 afcd[16209]: id="2023" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet logged (ATP)" srcip="192.168.0.39" dstip="50.31.129.129" fwrule="63001" proto="17" threatname="C2/Generic-A" status="1" host="thomasius.sytes.net" url="-" action="alert"

/var/log/aptp.log:2015:02:11-15:09:50 berlin-1 afcd[16209]: id="2023" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet logged (ATP)" srcip="192.168.0.39" dstip="50.31.129.129" fwrule="63001" proto="17" threatname="C2/Generic-A" status="1" host="panthera.sytes.net" url="-" action="alert"

/var/log/aptp.log:2015:02:11-15:09:50 berlin-1 afcd[16209]: id="2023" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet logged (ATP)" srcip="192.168.0.39" dstip="50.31.129.129" fwrule="63001" proto="17" threatname="C2/Generic-A" status="1" host="thomasius.sytes.net" url="-" action="alert"

/var/log/aptp.log:2015:02:11-15:11:51 berlin-1 afcd[16209]: id="2023" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet logged (ATP)" srcip="192.168.0.39" dstip="50.31.129.129" fwrule="63001" proto="17" threatname="C2/Generic-A" status="1" host="panthera.sytes.net" url="-" action="alert"

/var/log/aptp.log:2015:02:11-15:11:51 berlin-1 afcd[16209]: id="2023" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet logged (ATP)" srcip="192.168.0.39" dstip="50.31.129.129" fwrule="63001" proto="17" threatname="C2/Generic-A" status="1" host="thomasius.sytes.net" url="-" action="alert"

/var/log/aptp.log:2015:02:11-15:13:51 berlin-1 afcd[16209]: id="2023" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet logged (ATP)" srcip="192.168.0.39" dstip="50.31.129.129" fwrule="63001" proto="17" threatname="C2/Generic-A" status="1" host="panthera.sytes.net" url="-" action="alert"

/var/log/aptp.log:2015:02:11-15:13:51 berlin-1 afcd[16209]: id="2023" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet logged (ATP)" srcip="192.168.0.39" dstip="50.31.129.129" fwrule="63001" proto="17" threatname="C2/Generic-A" status="1" host="thomasius.sytes.net" url="-" action="alert"



213.218.169.74 is our legal external DNS to which all unresolved DNS-Requests are forewarded.

panthera.sytes.net and thomasius.sytes.net are dynDNS entries for a custom Synology NAS with redirection to :5000 with a dedicated FW-Rule to allow traffic from the LAN to that host and port.

This construction was working flawlessly for months until the upgrade to 9.3x.

The questions are:

A) Are both these hosts on a blacklist and how could one remove them?

B) How could I check what is inside fwrule"63001"? An 
"iptables -nL -v --line-numbers"
 as usual is not helpful at this point.

C) Does the UTM depackage IP-Packets to look inside for a blacklisted string? Otherwise I cannot explain the declaration of simple DNS-Requests of blaclisted hosts not going to any C&C Server as "bad" 

D) Any ideas to stop this?

Thanx - Chris


This thread was automatically locked due to age.
  • 0
    Im not sure if this helps.

    One of my clients is triggering the same alert.  It happened on 3/3.  My UTM Home is my DNS server.Immediately after I scanned with Spybot and the Sophos Vitus removal tool and both came up clear.

    Today i thought to look in my browser history and found I had visited a Wikipedia page one minute before.

    Out of curiosity and as the protection seemed to have worked last time I visited the same page again.  One minute later a second ATP alert.  I wont post the page here but will reply to PMs with it if anyone needs it.  Wiki say the page is clean. I have never had any other ATP alert.

    Network Protection


    192.168.0.172 mclean.sytes.net C2/Generic-A   DNS

    Its the same domain, albeit with a subdomain, and its a DNS query.

    Perhaps its a workstation which is the original source of the DNS query ?
  • 0
    I am having this same issue. All 4 of our DNS servers are logging this threat. I am thinking that a host on the network accessed a malicious domain and the DNS request was flagged.
  • 0
    My random guess is this:
    sytes.net is a dynamic DNS place.  It means that it give you an IP, and later might give you a different one.

    Some malicious websites have used sytes.net as their dns service.

    Something in ATP marks an IP or domain name as evil.

    The dynamic nature of sytes.net now gives you an IP that was previously bad.

    Here is another thing you could try:
    In the ATP data that I can see, there are 916 sytes.net entries in the aptp data (about 0.1% of all ATP threats is from sytes.net)
    /var/patter/aptp/threatdata
    If you have a repeatable test, possibly manipulating that file could track down the source.  Which might not help you solve the cause, but understand it.
    Note the file does get updated many times a day so changes are easily lost.
  • 0
    Hello everyone,

    I have almost the same issue but with a different threat:

    Advanced Threat Protection: Recent Events
    [Details] - Total Events: 8

       User/Host  Threat Name  Destination  Events  Origin   
    1  10.x.x.x  C2/Sality-A  digitalmind.cn  1  DNS  [Create an exception]
    2  10.x.x.x  C2/Sality-A  digitalmind.cn  1  DNS  [Create an exception]
    3  10.x.x.x  C2/Sality-A  www.digitalmind.cn  1  DNS  [Create an exception]
    4  10.x.x.x  C2/Sality-A  digitalmind.cn  2  DNS  [Create an exception]
    5  10.x.x.x  C2/Sality-A  digitalmind.cn  3  DNS  [Create an exception] 


    These are my 4 internal DNS Servers too. And of Course i scanned them several times with different AV-Scanners

    I already had this problem several Weeks ago. Then i changed the DNS Forwarders and it was fine. But now the same issue reappeared. Hence i switched to Google DNS Servers now. I used the DNS Servers of our Carriers (Kabel Deutschland and M-Net) before.

    At the moment our UTM is running ersion 9.309-3

    Cheers
    Peter
  • 0
    Do a google search for digitalmind.cn and you can see many different sites claiming it is as a source for malware or botnets.  We specifically block it in ATP and I do not believe it is a false positive.

    I would isolate the computer generating this traffic until you can get to the bottom of it.
  • 0 in reply to Michael Dunn
    Do a google search for digitalmind.cn and you can see many different sites claiming it is as a source for malware or botnets.  We specifically block it in ATP and I do not believe it is a false positive.

    I would isolate the computer generating this traffic until you can get to the bottom of it.


    All our internal DNS Servers are listed in the UTM. Now i turned on the DNS-Log on each Server. hence i will check when the notification will come again. Its strange because the event happened only on 1 day in February and on 3 days in March so far.