{"id":275887,"date":"2022-12-12T17:56:30","date_gmt":"2022-12-12T16:56:30","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=275887"},"modified":"2024-03-12T21:59:15","modified_gmt":"2024-03-12T20:59:15","slug":"sophos-atp-stuft-cloudflare-188-114-97-3-als-c2-generic-a-ein-false-positive-dez-2022","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/12\/12\/sophos-atp-stuft-cloudflare-188-114-97-3-als-c2-generic-a-ein-false-positive-dez-2022\/","title":{"rendered":"Sophos ATP stuft Cloudflare 188.114.97.3 als C2\/Generic-A ein (false positive) – Dez. 2022"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Kurze Umfrage bzw. Hinweis an Administratoren, die Sicherheitsl\u00f6sungen (ATP) von Sophos einsetzen. Aktuell sieht es so aus, als ob die Sophos-Sicherheitsprodukte die Cloudflare IP-Adresse 188.114.97.3 f\u00e4lschlicherweise als ATP C2\/Generic-A einstufen. Nachdem ein Blog-Leser mich \u00fcber eine private Facebook-Nachricht informiert hat, einige Informationen, was ich bisher herausgefunden habe.<\/p>\n

<\/p>\n

Sophos ATP und C2\/Generic<\/h2>\n

\"\"Sophos ATP (Advanced Threat Protection) ist eine Funktion der Sophos XG Firewall<\/a>. Advanced Threat Protection<\/a> analysiert den ein- und ausgehenden Netzwerkverkehr auf Bedrohungen. Mit ATP k\u00f6nnen Administratoren kompromittierte Clients in Ihrem Netzwerk schnell erkennen und den Datenverkehr von diesen Ger\u00e4ten protokollieren oder l\u00f6schen.<\/p>\n

Die Anzeige eines C2\/Generic-Alarms in der Sophos ATP besagt nur, dass ein b\u00f6sartiger Datenverkehr beobachtet wurde. Es k\u00f6nnte sich um eine falsch-positive Erkennung handeln, und eine Suche im Internet nach ATP C2\/Generic f\u00f6rdert eine Reihe Treffer in den letzten Jahren zutage. Hier im Blog hatte ich den Kurzbeitrag Sophos und die Fehlalarme der letzten Tage (April 2019)<\/a> die einem solchen false positive.<\/p>\n

ATP stuft Cloudflare 188.114.97.3 als C2\/Generic-A ein<\/h2>\n

Blog-Leser Chris hat mich zum 12. Dezember 2022 auf diese Diskussion<\/a> im Sophos-Forum hingewiesen. Zum Sonntag fragt jemand bez\u00fcglich einer bem\u00e4ngelten DNS-Anfrage folgendes an:<\/p>\n

ATP C2\/Generic-A Cloudflare 188.114.97.3 ?<\/p>\n

Guten Abend,<\/p>\n

ist hier etwas dran weshalb Sophos die IP 188.114.97.3 als Malicious einstuft oder wieder ein FalsePositive?<\/p>\n

Unser ATP der UTM9 meldet das seit Freitag bei DNS Anfragen ..<\/p><\/blockquote>\n

Hier noch eine Screenshot aus einer anderen Quelle (geschlossenes FB-Forum zum Thema).<\/p>\n

\"Sophos<\/p>\n

Das Problem wird von anderen Benutzern best\u00e4tigt. Jemand hat folgende log-Eintr\u00e4ge gepostet.<\/p>\n

2022:12:11-23:15:50 UTMFIREWALL named[6673]: rpz: client @0xb69a808 xxx.xxx.xxx.xxx#55357 (mastodon.lol): view default: rpz IP NXDOMAIN rewrite mastodon.lol via 32.3.97.114.188.rpz-ip.rpz\r\n2022:12:11-23:15:50 UTMFIREWALL named[6673]: rpz: client @0xb69a808 xxx.xxx.xxx.xxx#56326 (mastodon.lol): view default: rpz IP NXDOMAIN rewrite mastodon.lol via 32.3.97.114.188.rpz-ip.rpz\r\n2022:12:11-23:15:55 UTMFIREWALL named[6673]: rpz: client @0xb69a808 xxx.xxx.xxx.xxx#49629 (mindly.social): view default: rpz IP NXDOMAIN rewrite mindly.social via 32.3.97.114.188.rpz-ip.rpz\r\n2022:12:11-23:15:55 UTMFIREWALL named[6673]: rpz: client @0xb69a808 xxx.xxx.xxx.xxx#47000 (mindly.social): view default: rpz IP NXDOMAIN rewrite mindly.social via 32.3.97.114.188.rpz-ip.rpz\r\n2022:12:11-23:15:55 UTMFIREWALL named[6673]: rpz: client @0xb69a808 xxx.xxx.xxx.xxx#55935 (mindly.social): view default: rpz IP NXDOMAIN rewrite mindly.social via 32.3.97.114.188.rpz-ip.rpz\r\n2022:12:11-23:16:00 UTMFIREWALL named[6673]: rpz: client @0xaf8bc20 xxx.xxx.xxx.xxx#37920 (mindly.social): view default: rpz IP NXDOMAIN rewrite mindly.social via 32.3.97.114.188.rpz-ip.rpz\r\n2022:12:11-23:16:00 UTMFIREWALL named[6673]: rpz: client @0xaf8bc20 xxx.xxx.xxx.xxx#48306 (mindly.social): view default: rpz IP NXDOMAIN rewrite mindly.social via 32.3.97.114.188.rpz-ip.rpz<\/pre>\n
Es gibt im Thead weitere Stimmen, die einen Advanced Thread Protection-Alarm der Firewall f\u00fcr weitere Adressen (z.B. Google DNS) melden. Ein weiterer Nutzer schreibt dazu:<\/p>\n
Ich habe den gleichen Spass,<\/p>\n
Bei Virustotal wird die IP nur von Sophos und Webroot als malicious eingestuft, gestern waren es noch 3 Anbieter, ich tippe sehr stark auf FalsePositive. die zugrundeliegenden DNS Anfragen sehen jetzt recht unauff\u00e4llig aus bei mir.<\/p>\n
Gibt es eigentlich eine direkte Stelle bei Sophos, wo man solche FalsePositives zwecks erneuter \u00dcberpr\u00fcfung melden kann?<\/p><\/blockquote>\n
Aktuell gehe ich davon aus, dass die ATP-Alarme ein false positive sind. Ist sonst jemand aus der Leserschaft von diesem Effekt betroffen? Gibt es n\u00e4here Informationen dazu?<\/p>\n
Erg\u00e4nzung:<\/strong> Im Forum meint ein Betroffener \"Die XGs sind ein wenig gespr\u00e4chiger, scheint mal wieder irgendein Edge-Feature zu sein. Eventuell die automatisch angezeigten Nachrichten? Microsoft selbst wird ja vermutlich eher nix bei Cloudflare hosten…\" Seit kurzer Zeit scheint das Problem gefixt zu sein.<\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Kurze Umfrage bzw. Hinweis an Administratoren, die Sicherheitsl\u00f6sungen (ATP) von Sophos einsetzen. Aktuell sieht es so aus, als ob die Sophos-Sicherheitsprodukte die Cloudflare IP-Adresse 188.114.97.3 f\u00e4lschlicherweise als ATP C2\/Generic-A einstufen. Nachdem ein Blog-Leser mich \u00fcber eine private Facebook-Nachricht informiert hat, … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161],"tags":[4328,4313],"class_list":["post-275887","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","tag-sicherheit","tag-virenschutz"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/275887","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=275887"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/275887\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=275887"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=275887"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=275887"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}