This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

A little disgusted.

Been using Astaro at home for a while, nice bit of software, running 7.503.

Today, at a clients, an ids triggered on scareware.
The client had done a search for "american country music awards 2010"
The browser showed the 'virus scan' and gave a popup to repair, so they left it for me to look at without following through.

That office and the ids sit behind Untangle, and the Untangle install didn't even notice.

Later I spent some time with these sites and downloading these installers from behind untangle, occasionally the Untangle Phishing module would throw a block page, since it's block db comes from google, those would correlate with the search links in the google results that were marked with "this site may harm your computer".

Not real impressed with the Untangle solution.

Went home, and ran the same 'test' from behind my Astaro install.

Downloaded over a dozen of these installers, Astaro didn't even notice, just happily passed along every single request and downloaded installer.
2010:04:19-18:58:18 astaro httpproxy[12865]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.115" user="" statuscode="200" cached="0" 
profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter 
action)" size="535" time="211 ms" request="0xad561060" url="www2.secyresyscare2.com/build9_195.php
cmd=sendFile&counter=1&=p52dcWltbV%2FCj8bYbnOCdVik12qbVp%2FZatrauJ%2BCoKXcz4mbm5h2lpd6fl%2FVodCjZGGRaGRvll7IaWGMoNfF16aqb1zWnomtm6ilmXVanqLNkqGMp5mSq29ezZ2fZmiUX5aVkWVlY2ebh9WemHGhqKykcmiQpNvdX5eco5mkyVv
Fn52VoMjF1ZSfcaeiwtCepJ2claZfm6jWm9jYqluaqaWhx1jDp5HYkdaPlWFoYlzGztN0lKine3WHnZrTkMyMkp2db5qkoZLQVpHTnZ7Hz5qcoKqix8
yrl5qorGWVXprOnZ%2FOpG1moIBexZrSa6LSoKDH0p5lp5jaz9euV2d6maZhjYyGYKXVl5aWl5uZ0FPDnaChoMShlVerpXOWk5pqaWZxanBoXq3UX6GXY2dea2RwmmWWVpPJari3iaiglnOdk5U" exceptions="" error="" category="9998" reputation="neutral" categoryname="Uncategorized" content-type="text/html"


The only current tools I have running at home or these offices that do trigger are the snort installations with emerging-virus.rules, as well as the desktop av's NOD32 and Prevx3.

Since Untangle uses Clam and Kaspersky, and Astaro uses Clam and Antivir?,  it's no wonder that neither of their AV catch these installers, but nothing in Astaro content filter or ips triggers either. Of the three installer I uploaded to virustotal, only 7 of 41 av would trigger, additionally, neither do the other two desktop AV's I use here and there, MSE and Norton 2010, as verified by virustotal.com.

This entire business is lame, they shouldn't be clicking through these stupid links but these gateway solutions ought to be doing something, from everything I read on the net this is becoming the most prevalent attack vector and has been for some time.

When are security solutions going to actually start catching up with these attack methods?


This thread was automatically locked due to age.
  • categoryname="Uncategorized"

    If you are serious about security, you will want to block the "Suspicious_and_Uncategorized" category.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi,
    I am also not sure why you think the IPS should see the virus. You weren't under attack. 

    Ian M
  • You also need to understand that AV (And IDS/IPS) is a reactionary security method.  By that I mean, that as a general rule, a virus (Or IDS/IPS) def needs to be created to catch the virus (Attack).  Heuristics are getting better, but they are just not able to do the job and NOT miss fire so often that the user turns it off. Besides that, there are AV services where a virus write can submit their sample to see what AV's spot their virus.  Then they mod it until no AV catches it.  These hacker services do not report the new virus to the AV companies. There are also virus kits that allow the writer to create hundreds if not thousands of obfuscated version of the same virus with no effort.  Each of these can require a different def!

    What you need is to run something that is "proactive". Once that catches everything no matter what.  The only thing that comes close is a program like Sandboxie.  While it does not detect anything, it keeps everything inside the sandbox.  If setup correctly the sandbox will be deleted when the user closes the browser. (Also make sure you are running drop my rights inside the sandbox, even if they are only users.) Nothing gets installed for real this way.  The down side is that a user needs to close the browser before doing any sensitive work after any surfing.  They need to understand this fact or Sandboxie won't be much help.  If the user gets a keylogger or some other virus in the sandbox while surfing then goes and does some banking in that infected sandbox... they may lose their password etc. 

    The other "proactive" thing is training.  Teach the users not to click on everything, open attachments etc. 

    There are also programs like Deepfreeze and Steady state.  The downside of those is to "clean" out the junk, you must reboot.  That is not very useful because you would have to do it all day long.
  • If you are serious about security, you will want to block the "Suspicious_and_Uncategorized" category.

    Cheers - Bob


    Thank you, we haven't used content filtering because neither my household nor my smb's require baby sitting, so I had not realized its applicability for such sites.
    And your suggestion did indeed work on the first of these links I tried this morning after turning that option on in my Astaro.
    I've found over the past 6 odd months that your posts have always been very informative.
    I'll have to look into the web filter module on Untangle.
  • Hi,
    I am also not sure why you think the IPS should see the virus. You weren't under attack. 

    Ian M


    That's BS, they were most certainly under attack, perhaps not in the traditional sense of networks and ids, but certainly with the intention of harm and theft.

    Additionally, if you look at the rule in my previous post, and specifically, sid's 2010007 and 2010450, you would see that the ids can indeed be very effective for catching this crap.
  • You also need to understand that AV (And IDS/IPS) is a reactionary security method.


    I have a general understanding of how definition and behavior based av work.

    I'm also aware of pay sites such as scan4you dot biz.


    The other "proactive" thing is training.  Teach the users not to click on everything, open attachments etc. 


    That can only be so effective, do you rebuild you own engines? Do you revalve your own suspension? The reality is, true understanding of computing in general, never mind security, requires almost a lifetime commitment, just like a good accountant, in some ways it could be said to be almost unfair to expect the average user to understand all the attack vectors.
    Regardless, as I stated in my post above, these users realized something was wrong and walked away, I think that was pretty smart and indicative of my efforts to make them aware.
    Additionally, that install was running as limited user, so an install of that program would have required the admin password, which they don't have.


    There are also programs like Deepfreeze and Steady state.  The downside of those is to "clean" out the junk, you must reboot.  That is not very useful because you would have to do it all day long.


    Those are interesting solutions for guest or 'internet cafes' but in reality not very useful in smb's.

    There are articles being published now that are speaking of security overload for average users, and I'm inclined to agree with their conclusions, it's time for the security community to stop the elitist attitude and start finding ways to stop these 'attacks' without blaming the users, it's just not possible to have a staff meeting every morning and say "OK kids, these are the things you need to watch out for today, oh, and be sure to change you passwords, all of them, on every site you use, oh, and don't forget, don't write those passwords down".
  • security has to be implemented using a layered approach - as stated above web filtering and anti-v will only take you so far...

    education, a modern bowser (with anti-phishing), and User Account Control (UAC) can also be huge benefits in safer surfing...
  • I am not a mind reader. In this thread there is no mention of IPS rules.
    Perhaps if you want complete answers you post all the details in one thread.

    Ian M
  • I am not a mind reader. In this thread there is no mention of IPS rules.
    Perhaps if you want complete answers you post all the details in one thread.

    Ian M


    I apologize for offending you.
    I thought that the statements: 
    Today, at a clients, an ids triggered on scareware.
    and, 
    The only current tools I have running at home or these offices that do trigger are the snort installations with emerging-virus.rules, as well as the desktop av's NOD32 and Prevx3.

    covered the ids/ips portion of my original post.

    My post was really more of a statement than a request for help, I was ranting, but BAlfson observation was, quite helpful.

    I will, in the future, attempt to make myself more clear.
  • I disagree about not being able to use Sandboxie in a small business or even a large business.  It is all but transparent to the end user.  The only time the user has any interaction is if they save something.  In most bigger companies, that ability is blocked anyway.  For other users, it is just one dialog box to save the file. 

    And yes, you have to use a layered approach. IMHO the last line of defense is the sandbox. For me it starts with the users, which I agree only gets you so far, and not very far at that. I say it starts here because they initiate the web connection. (You hope!) The second layer is patching EVERYTHING, not just Windows but all software. The next layer is your border security.  Routers, Firewalls, Proxy servers, AV's, IPS/IDS etc.  The next layer would be a DIFFERENT av on the desktop.  After that UAC and NOT letting users run with any privileges they do not need. DO NOT RUN AS ADMINISTRATOR! Only run instances of programs as admin when needed.  That will stop 90% of infections from happening. The last layer for me is the sandbox and the browser.  (The browser can run several security add ons that do not require user intervention.) If something gets by all of my other layers, then my last hope is the sandbox. While the proper "use" of the sandbox requires a little user training, it is worth it.  There are no steps for the users to use it per say... just that if they are surfing the net and then decide to do some work... close that browsers instance and open a new one. And the saving of any files, if that is allowed requires 1 dialog box. Of course, for me being strict on where users can go (Block uncategorized sites) is another layer that enhances security.

    I run all this at home, and my girl friend has no issues using any of it.  She is not computer person either. And none of my customers have issues using it either. Not all of them have border security either. (Small biz running DSL with just a router, Kaspersky Internet Security, Firefox with a few add ons and Sandboxie.) One of them likes to surf adult material at work (he owns the place) and has gotten one fake AV pop that was not blocked by KIS.  He just closed the sandbox and lt delete and gives me a call with the URL that he was at.  I checked it out with Linux, and reported it to several AV companies.  Once there was a def, he scaned again and was not infected.

    The people I have had get infected have admitted they were not in Sandboxie. They usually do not make that mistake again. 

    At home, I have yet to have anything get past Astaro and set off my desktop AV/IDS/IPS/Firewall.  I regularly boot to a boot CD and scan Windows when it is not running.  I do this to maximize the chance of finding any root kits. I have not found anything. No cookies, nothing.  (Thank you Sandboxie!) I also monitor traffic and scan my network with NMap looking for changes.  Am I overly cautious? Paranoid? Maybe, but I do not have any issues on my network... 

    Just my experience and my opinion. And you know what that is worth! [;)]

    C68