This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9 ATP meldet C2/Generic-A mit seltsamer Source IP

Hallo Miteinander,

wir haben eine UTM 9 in unserem Unternehmen im Einsatz.
Uns ist jetzt eine seltsame Meldung des Advanced Thread Protection aufgefallen. Es ist zwar schon öfter vorgekommen, dass externe DNS-Server, wie der von Google (8.8.8.8), als C2-Server erkannt wurden, aber in unserem Fall ist es nicht der Empfänger, sondern der Versender!
Vor ein paar Tagen bekamen wir 2 mal sehr kurz hintereinander untenstehende Meldungen, seitdem ist nichts mehr passiert.

Siehe Auszug aus dem Log:

2022:04:03-20:54:13 xxxxx-xxx-xxxxx-2 afcd[24902]: id="2022" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet dropped (ATP)" srcip="8.8.8.8" dstip="217.89.141.211" fwrule="63001" proto="17" threatname="C2/Generic-A" status="1" host="185.220.101.35" url="-" action="drop"
2022:04:03-20:54:15 xxxxx-xxx-xxxxx 2 afcd[24902]: id="2022" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet dropped (ATP)" srcip="9.9.9.9" dstip="217.89.141.211" fwrule="63001" proto="17" threatname="C2/Generic-A" status="1" host="185.220.101.35" url="-" action="drop"

Was mich irritiert ist, wieso die DNS-Server die vermeintliche srcip sind.
Dadurch ist uns das Auffinden eines möglichen kompromittierten Hosts natürlich auch nicht möglich.

Hat jemand so etwas schon mal erlebt? Könnte es sich hier um einen false positive handeln? 

Für Ratschläge bin ich euch sehr dankbar.

Flo



This thread was automatically locked due to age.
Parents
  • Der Block passiert hier anhand der "Antwort".

    Der "Hacker" hat sich für seinen Server einen neuen/unverfänglichen Namen erzeugt, den noch keiner kennt.

    Der Link in der Mail oder die Schadsoftware verwendet diesen Namen, macht eine DNS-Anfrage damit und bekommt die IP (oder den DNS-Alias) eines bekannten "bösen" Servers zurück. Das wird dann geblockt.  

    Virustotal wird bei der IP "185.220.101.35" ziemlich rot. Also eher kein false-positive.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Das bestätigt zumindest schon mal unseren Verdacht, vielen Dank.

    Als nächstes werde ich Logfiles wälzen, in der Hoffnung herauszufinden, welcher Client das ist. 
    Hast du diesbezüglich auch einen Tipp, wie ich das anstellen kann?

Reply Children