Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 72 replies
  • Subscribers 4 subscribers
  • Views 73097 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

crl.verisign.com Threat Protection false positives?

stealthmatt_01
Hi all,

We are seeing an increase in ATP notifications just today, in relation to *crl.verisign.com

This seems like its a certificate look up? Mulitplie UTMs are reporting this same threat with different clients, we have run malware bytes and full system AV scan and can't seem to find anything.

The one PC we did find a trojan, we have cleared and just now it has said the same IP tried to get to the same site? the Reason is both DNS and Proxy...


This thread was automatically locked due to age.
  • 0
    Thanks for reply Ondrej.

    Just got this from support in response and temporary solution:

    Yes its being investigated.

    There  are the three urls which trigger the alert

     

    csc3-2004-crl.verisign.com

    csc3-2009-2-crl.verisign.com

    csc3-2009-crl.verisign.com

     

    If you go into ATP and go to Threat Exceptions

    add the above urls

    -----

    Best regards
    Martin

    Sophos XGS 2100 @ Home | Sophos v20 Technician

  • 0
    This is the usual rubbish sophos "head in the sand" approach to a mess they have made of their atp patterns.

    Again - why can they not put something on thier advisories feed at https://secure2.sophos.com/en-us/support/knowledgebase/b/1214.aspx

    or a knowledgebase article?

    OR EVEN POST AN UPDATE HERE !!!!!!!!!!!!!


    or the known issues list here :- http://www.astaro.com/lists/Known_Issues-UTM-V9.txt

    or the astaro news widget on the dashboard!!!!!!!!!!!!!!

    it is simply unacceptable.
  • 0 in reply to twister5800
    Yes its being investigated.
    There  are the three urls which trigger the alert

    csc3-2004-crl.verisign.com
    csc3-2009-2-crl.verisign.com
    csc3-2009-crl.verisign.com

    If you go into ATP and go to Threat Exception add the above urls


    I'm sure that these three exceptions won't solve your issue with whatismyipaddress(dot)com. A brief look into ATP defs:

    loginuser@utm:/home/login > grep -Ei -A 1 "whatismyipaddress|verisign" 


    So you must exclude also:

    bot.whatismyipaddress.com
    whatismyipaddress.com

    But who knows, whether there are other legitimate targets also blacklisted by ATP defs or not.

    Ondrej
  • 0 in reply to ondrej.holas
    I'm getting this too - typical reply from Sophos advidsing to add exceptions as follows:

    As discussed, the false positives that we are aware of are as follows:

    csc3-2004-crl.verisign.com
    csc3-2009-2-crl.verisign.com
    csc3-2009-crl.verisign.com

    If you can add these as exclusions in the short term this should prevent new alerts being generated. If you are seeing alerts for any other URLs then do let us know.


    Regards, 
    Sophos Technical Support
  • 0
    How do i reset the Advanced Threat Protection warning.
  • 0
    I agree Ondrej, just pasted what support told me :-)

    I made the case 3 days ago, first they told me it would be fixed in the evening, but yesterday they gave me the exceptions...still not working

    Today? - I can't even ping the host, domain not resolvable [:S]
    (Maybeit it IS infected?!)

    UPDATE: Was running 9.3 Beta at the same, reverting to 9.2 now gives me the blocked screen again. Better tell them in the BETA forum [:)]

    -----

    Best regards
    Martin

    Sophos XGS 2100 @ Home | Sophos v20 Technician

  • 0
    ATP is having issues.  The exceptions aren't stopping the false alerts.  I'm having to disable ATP on the affected machines.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to twister5800
    Maybeit it IS infected?!


    I assume that if particular site serves as an infection source, it will be listed rather in URL categorization (Malicious Sites) than in ATP pattern. The reason is that victim reaches such site from yet uninfected endpoint (either directly or in drive-by scenario), so there's no reason for alert and simply blocking the request is sufficient in this case.

    The purpose of ATP is to identify and alert of already infected endpoint when it tries to reach its mothership (aka C&C center).

    In the case of Verisign, it is very unlike that its CRL distribution points serve as either C&C or primary infection source. As I wrote yesterday, Verisign's URLs most likely passed to ATP defs due to insufficient review of collected results from behavioral analysis.

    In the case of whatismyipaddress, although its reputation is uncomparable with Verisign's, the most probable scenario is that some malware abuses this service to get public IP address of infected endpoint (in the past I saw ransomware incidents where "lock screen" mentioned public address). Whatismyipaddress is general-purpose service and even if it is contacted by malware, this fact alone is not sufficient to classify it as indicator of malware-initiated communication.

    Ondrej
  • 0
    Morning... Well I expected this to bo solved by monday morning... It's getting even worse. :-(
  • 0 in reply to skerba
    We are getting random reboots of our node's now... It this is related, I don not know. But I thinking there is something wrong with 9.207.19.

    The UTMs have been stable for 11 months, now they are unstable every night rebooting...

    Hoping for an update coming soon.
Unfiltered HTML