Hallo Miteinander,
wir haben eine UTM 9 in unserem Unternehmen im Einsatz.
Uns ist jetzt eine seltsame Meldung des Advanced Thread Protection aufgefallen. Es ist zwar schon öfter vorgekommen, dass externe DNS-Server, wie der von Google (8.8.8.8), als C2-Server erkannt wurden, aber in unserem Fall ist es nicht der Empfänger, sondern der Versender!
Vor ein paar Tagen bekamen wir 2 mal sehr kurz hintereinander untenstehende Meldungen, seitdem ist nichts mehr passiert.
Siehe Auszug aus dem Log:
2022:04:03-20:54:13 xxxxx-xxx-xxxxx-2 afcd[24902]: id="2022" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet dropped (ATP)" srcip="8.8.8.8" dstip="217.89.141.211" fwrule="63001" proto="17" threatname="C2/Generic-A" status="1" host="185.220.101.35" url="-" action="drop" 2022:04:03-20:54:15 xxxxx-xxx-xxxxx 2 afcd[24902]: id="2022" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet dropped (ATP)" srcip="9.9.9.9" dstip="217.89.141.211" fwrule="63001" proto="17" threatname="C2/Generic-A" status="1" host="185.220.101.35" url="-" action="drop"
Was mich irritiert ist, wieso die DNS-Server die vermeintliche srcip sind.
Dadurch ist uns das Auffinden eines möglichen kompromittierten Hosts natürlich auch nicht möglich.
Hat jemand so etwas schon mal erlebt? Könnte es sich hier um einen false positive handeln?
Für Ratschläge bin ich euch sehr dankbar.
Flo
This thread was automatically locked due to age.
