[English]Kurze Umfrage bzw. Hinweis an Administratoren, die Sicherheitslösungen (ATP) von Sophos einsetzen. Aktuell sieht es so aus, als ob die Sophos-Sicherheitsprodukte die Cloudflare IP-Adresse 188.114.97.3 fälschlicherweise als ATP C2/Generic-A einstufen. Nachdem ein Blog-Leser mich über eine private Facebook-Nachricht informiert hat, einige Informationen, was ich bisher herausgefunden habe.
Anzeige
Sophos ATP und C2/Generic
Sophos ATP (Advanced Threat Protection) ist eine Funktion der Sophos XG Firewall. Advanced Threat Protection analysiert den ein- und ausgehenden Netzwerkverkehr auf Bedrohungen. Mit ATP können Administratoren kompromittierte Clients in Ihrem Netzwerk schnell erkennen und den Datenverkehr von diesen Geräten protokollieren oder löschen.
Die Anzeige eines C2/Generic-Alarms in der Sophos ATP besagt nur, dass ein bösartiger Datenverkehr beobachtet wurde. Es könnte sich um eine falsch-positive Erkennung handeln, und eine Suche im Internet nach ATP C2/Generic fördert eine Reihe Treffer in den letzten Jahren zutage. Hier im Blog hatte ich den Kurzbeitrag Sophos und die Fehlalarme der letzten Tage (April 2019) die einem solchen false positive.
ATP stuft Cloudflare 188.114.97.3 als C2/Generic-A ein
Blog-Leser Chris hat mich zum 12. Dezember 2022 auf diese Diskussion im Sophos-Forum hingewiesen. Zum Sonntag fragt jemand bezüglich einer bemängelten DNS-Anfrage folgendes an:
ATP C2/Generic-A Cloudflare 188.114.97.3 ?
Guten Abend,
ist hier etwas dran weshalb Sophos die IP 188.114.97.3 als Malicious einstuft oder wieder ein FalsePositive?
Unser ATP der UTM9 meldet das seit Freitag bei DNS Anfragen ..
Hier noch eine Screenshot aus einer anderen Quelle (geschlossenes FB-Forum zum Thema).
Das Problem wird von anderen Benutzern bestätigt. Jemand hat folgende log-Einträge gepostet.
2022:12:11-23:15:50 UTMFIREWALL named[6673]: rpz: client @0xb69a808 xxx.xxx.xxx.xxx#55357 (mastodon.lol): view default: rpz IP NXDOMAIN rewrite mastodon.lol via 32.3.97.114.188.rpz-ip.rpz 2022:12:11-23:15:50 UTMFIREWALL named[6673]: rpz: client @0xb69a808 xxx.xxx.xxx.xxx#56326 (mastodon.lol): view default: rpz IP NXDOMAIN rewrite mastodon.lol via 32.3.97.114.188.rpz-ip.rpz 2022:12:11-23:15:55 UTMFIREWALL named[6673]: rpz: client @0xb69a808 xxx.xxx.xxx.xxx#49629 (mindly.social): view default: rpz IP NXDOMAIN rewrite mindly.social via 32.3.97.114.188.rpz-ip.rpz 2022:12:11-23:15:55 UTMFIREWALL named[6673]: rpz: client @0xb69a808 xxx.xxx.xxx.xxx#47000 (mindly.social): view default: rpz IP NXDOMAIN rewrite mindly.social via 32.3.97.114.188.rpz-ip.rpz 2022:12:11-23:15:55 UTMFIREWALL named[6673]: rpz: client @0xb69a808 xxx.xxx.xxx.xxx#55935 (mindly.social): view default: rpz IP NXDOMAIN rewrite mindly.social via 32.3.97.114.188.rpz-ip.rpz 2022:12:11-23:16:00 UTMFIREWALL named[6673]: rpz: client @0xaf8bc20 xxx.xxx.xxx.xxx#37920 (mindly.social): view default: rpz IP NXDOMAIN rewrite mindly.social via 32.3.97.114.188.rpz-ip.rpz 2022:12:11-23:16:00 UTMFIREWALL named[6673]: rpz: client @0xaf8bc20 xxx.xxx.xxx.xxx#48306 (mindly.social): view default: rpz IP NXDOMAIN rewrite mindly.social via 32.3.97.114.188.rpz-ip.rpz
Es gibt im Thead weitere Stimmen, die einen Advanced Thread Protection-Alarm der Firewall für weitere Adressen (z.B. Google DNS) melden. Ein weiterer Nutzer schreibt dazu:
Ich habe den gleichen Spass,
Bei Virustotal wird die IP nur von Sophos und Webroot als malicious eingestuft, gestern waren es noch 3 Anbieter, ich tippe sehr stark auf FalsePositive. die zugrundeliegenden DNS Anfragen sehen jetzt recht unauffällig aus bei mir.
Gibt es eigentlich eine direkte Stelle bei Sophos, wo man solche FalsePositives zwecks erneuter Überprüfung melden kann?
Aktuell gehe ich davon aus, dass die ATP-Alarme ein false positive sind. Ist sonst jemand aus der Leserschaft von diesem Effekt betroffen? Gibt es nähere Informationen dazu?
Anzeige
Ergänzung: Im Forum meint ein Betroffener "Die XGs sind ein wenig gesprächiger, scheint mal wieder irgendein Edge-Feature zu sein. Eventuell die automatisch angezeigten Nachrichten? Microsoft selbst wird ja vermutlich eher nix bei Cloudflare hosten…" Seit kurzer Zeit scheint das Problem gefixt zu sein.
Habe hier auf einer UTM auch einen ähnlich lautenden Eintrag.
Der Traffic wird geblockt – hat das eigentlich keine Auswirkungen auf die Funktionalität? :D
Warum "false positve"? Diese IP ist eine von drei, die viele sehr dubiose Web-Sites hostet:
curl -I http[:]//brautatelier-graf[.]de/
ist auf Virustotal völlig unauffällig, aber bei einem Aufruf aus D es gibt jedes Mal eine Weiterleitung zu einer anderen Webseite:
Location: https[:]//xiu.micheleskitchen[.]de/one-bedroom-flat-mansfield-nottinghamshire-dss-accepted.html
Diese Seiten haben wiederum Links zu 18 anderen, ebenfalls dubiosen Seiten.
Ganz einfach false positive, weil Sophos selbst auf Google.de anschlägt und nicht erst wenn man eine von dir genannten dubiosen Seiten aufruft. Das ist ganz offensichtlich ein Fehler. Ich weiß allerdings nicht welche Funktion im Hintergrund eine Verbindung zur besagten IP aufbaut.
>>> Ich weiß allerdings nicht welche Funktion im Hintergrund eine Verbindung zur besagten IP aufbaut.
Der ATP wird bereits durch DNS Anfragen ausgelöst, die zu dieser IP Adresse auflösen.
Bliebe also die Frage warum jeder mögliche "Dreck" dabei zu sein scheint, wenn man aber sieht was diverse Browser so als "Startseite" anzeigen – der ganze Werbedreck dürfte das schon erklären – das löst ja gleich dutzende/hunderte DNS Anfragen aus, je nachdem wo die Werbebanner herkommen.
>ping -n 1 -a brautatelier-graf[.]de
Ping wird ausgeführt für brautatelier-graf[.]de [188[.]114[.]96[.]3] mit 32 Bytes Daten:
Danke für diese Informationen.
Hat mir seit heute Mittag die Schweißperlen auf die Stirn getrieben…
Unsere XGs spucken ähnliche Log-Einträge aus.
Tatsächlich kam der erste Hit direkt bei Eingabe von hei…de. Also eine durch und durch seriöse Website. Im Laufe des Tages immer mehr Einträge und lokale Meldungen der Sophos Virenscanner.
Behoben ist da allerdings noch nichts…
Bei einem Kunden bislang knapp 70 Treffer. Ging gestern Morgen los und endete bislang heute Nachmittag. Nach eigener Recherche sah es gleich nach False Postive aus, aber bei Virustool wurde die IP gestern von drei Anbietern als malicious eingestuft – heute Mittag dann nur noch von einem einem.
Was mich wundert: Bei dem was alles über diese IP von Cloudflare läuft, das ich ATP Meldungen nur bei einem einzigen Kunden hatte. Eigentlich hätte ich erwartet bei allen Kunden Treffer zu erhalten, eben weil selbst google.com betroffen war, oder pdfsam.org usw.
Zeigt aber auch, das hier eine DoS Möglichkeit besteht – bringe ein paar IPs von CDNs in Verruf und die ATP-Filter machen dicht. Wobei der Filter von Sophos eher empfindlich zu sein scheint. Aber lieber der Filter hat einen false positive zu viel, als einen echten Treffer zu wenig.
Bei der oben genannten Url zeigt Virustotal etwas anderes an als mein direkter Aufruf.
Falls jemand Interesse hat, teile ich meine Logfiles.
——————-
http[:]//brautatelier-graf[.[de/
Virustotal.com
IP-Address: 104.21.80.250
Body Length:
22.5 kb
Headers:
NEL {"success_fraction":0,"report_to":"cf-nel","max_age":604800}
Content-Encoding gzip
Transfer-Encoding chunked
CF-Cache-Status DYNAMIC
Server cloudflare
Connection keep-alive
Report-To {"endpoints":[{"url":"https://a.nel.cloudflare.com/report/v3?s=Eqg984aixhNQKZIiiVYkbC9Z4QF70Zu8JKtb%2FxTGXP0FCAIPE%2BrHygo6XGNFh7vINlBrOpfTtJmlg0DdWL2bmgJitmWKtFbbmw83%2B4OuFCXzRkLyMCC65dEnf%2FRAKlFmcC3UmDe2Mtu7aHQJFDPM7nwXLA%3D%3D"}],"group":"cf-nel","max_age":604800}
Date Fri, 25 Nov 2022 23:21:15 GMT
CF-RAY 76fe1e9dfabe226d-ORD
alt-svc h3=":443"; ma=86400, h3-29=":443"; ma=86400
Content-Type text/html
————————————————————————————–
curl -I http[:]//brautatelier-graf[.]de/
HTTP/1.1 301 Moved Permanently
Date: Mon, 12 Dec 2022 17:42:15 GMT
Connection: keep-alive
Location:
CF-Cache-Status: DYNAMIC
Report-To: {"endpoints":[{"url":"https://a.nel.cloudflare.com/report/v3?s=ahzXLmK1mcyF7qHfVHMc0J0O0h87ZdvQhXArCoF2IzsKz8qy%2B53nA6vbCGuJy3zzDRU0PjGGLs9sxzxNzMZThGqFZ9Cd7g4ViStUPvJ%2B0qxkkjBpChkUE4ZCkSh10gs48OpC2lrOHA%3D%3D"}],"group":"cf-nel","max_age":604800}
NEL: {"success_fraction":0,"report_to":"cf-nel","max_age":604800}
Server: cloudflare
CF-RAY: 77884167efee90da-FRA
alt-svc: h3=":443"; ma=86400, h3-29=":443"; ma=86400
Hatte heute Nachmittag auch erst mal unruhige Zeiten bis ich im Sophos-Forum auf gleichgesinnte gestoßen bin und es sich als False-Positive-Meldung herausstellte.
Aber letztlich lieber einmal zuviel gewarnt, als einmal zu wenig ;-)
Ist von Sophos mittlerweile als False-Positive identifiziert worden: https://community.sophos.com/utm-firewall/f/german-forum/137824/atp-c2-generic-a-cloudflare-188-114-97-3
Wir hatten das gleiche Problem. Gestern, in der Zeit von 12 Uhr bis 16 Uhr sammelten sich auf dem Firewalldashboard auf einmal die ATP geblockten internen Hosts. Die IP 188.114.97.3 wurde sofort blockiert und die Suche ging los…
Hier ebenso, Firewalls XGS3100 meldeten C2/Generic-A Drops nach
188.114.97.3
Schreck lass nach… Danke für diese Infos!
Bei uns auch. Ich hatte die Ip dann auf die Blackliste genommen…naja nehm ich sie wieder runter ;) danke für den Hinweis.
Auch gleich heute morgen auf SFOS 19.5.0 GA-Build197 aktualisiert…
Appliance Firmware was changed from 'SFOS 19.0.1 MR-1-Build365' to 'SFOS 19.5.0 GA-Build197' by 'admin' from '192.168.12.173' using 'GUI'
https://community.sophos.com/utm-firewall/f/general-discussion/138206/attack-on-webadmin-port-many-failed-logins/513847
2024-03-20 14:06:52.958648+01:00 LAN X.X.X.X:64686 188.114.97.3:443 UDP
QUIC Block encrypted network (1710933165)