{"id":282962,"date":"2023-06-22T12:17:25","date_gmt":"2023-06-22T10:17:25","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=282962"},"modified":"2024-06-14T15:47:37","modified_gmt":"2024-06-14T13:47:37","slug":"false-positives-sophos-meldet-ms-ips-als-c2-attacke-fehlalarme-beim-defender","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/06\/22\/false-positives-sophos-meldet-ms-ips-als-c2-attacke-fehlalarme-beim-defender\/","title":{"rendered":"False Positives: Sophos meldet MS-IP 209.197.3.8 als C2-Attacke, Fehlalarme bei weiteren Virenscannern"},"content":{"rendered":"

\"SicherheitIch kippe mal einen schnelle Information hier im Blog ein. Administratoren einer Firewall von Sophos laufen ggf. in das Problem, dass IP-Adressen von Microsoft (Windows Update) als C2-Angriff gemeldet und geblockt werden. Zudem scheint es auch von\u00a0 weiteren Virenscannern am heutigen 22. Juni 2023 einige \"Fehlalarme\" zu geben bzw. gegeben zu haben. Grund ist wohl die Signatur einer alten Schwachstelle, die jetzt die Fehlalarme ausl\u00f6st. Hier eine kurze \u00dcbersicht.<\/p>\n

<\/p>\n

Sophos-Firewall Fehlalarme<\/h2>\n

\"\"Ein Blog-Leser hat mich gerade \u00fcber eine private Nachricht auf Facebook informiert (danke daf\u00fcr), dass bei ihm die Sophos Firewall Amok l\u00e4uft und schrieb dazu.<\/p>\n

Guten Morgen Born,<\/p>\n

neue Infos, aber nicht schlimm.<\/p><\/blockquote>\n

Seine Sophos Firewall meldet eine Microsoft IP als C2-Attacke (C2 steht hier f\u00fcr Command & Control, also eine Gegenstelle die Befehle entgegen nehmen und f\u00fcr den Angriff neue Schadsoftware bereitstellen kann).<\/p>\n

Der Leser hat den\u00a0Fall heute morgen gehabt. Dieser Sachverhalt wird\u00a0auch in der Sophos Community diskutiert.\u00a0Der Leser hat mir nachfolgendes Foto des Bildschirms zukommen lassen, welches die Alarme (C2-Generic-A) der Sophos Firewall bei der IP-Adresse 209.197.3.8 zeigt.<\/p>\n

\"Sophos-Firewall<\/p>\n

In der Sophos Community findet sich der Thead ATP alerts for 209.197.3.8<\/a> dazu, der die gleiche IP-Adresse angibt. Der Betroffene schreibt dazu:<\/p>\n

ATP alerts for 209.197.3.8<\/p>\n

We are receiving ATP alerts because our machines are trying to access Windows update at 209.197.3.8. They've been hitting that IP for months, but the alerts just started.<\/p>\n

Is this a false positive?<\/p><\/blockquote>\n

Zu Deutsch: Der Betroffene bekommt von seiner Sophos-Firewall ATP-Warnungen (wobei das ATP f\u00fcr Advance Thread Protection steht). Die Sophos Firewall bem\u00e4ngelt, dass die betroffenen Maschinen Windows Update an der angegebenen IP-Adresse zu kontaktieren versuchen. Zugriffe dieser IP-Adresse gibt es schon seit Monaten, aber die Warnmeldungen der Sophos Firewall haben gerade erst begonnen. Der Nutzer fragt, ob dies vielleicht ein Fehlalarm sein k\u00f6nne (false positive)<\/p>\n

Das Bild wurde von mehreren Kunden best\u00e4tigt. Inzwischen gibt Sophos als Reaktion an, die ATP-Signaturen aktualisiert zu haben, so dass diese IP nicht mehr bem\u00e4ngelt wird. War jemand betroffen?<\/p>\n

Weitere Scanner schlagen an<\/h2>\n

Gestern hatte ich im Beitrag 7-Zip 23.01 ver\u00f6ffentlicht; Virenscanner haben Fehlalarm<\/a> erw\u00e4hnt, dass der Microsoft Defender einige Stunden einen Fehlalarm beim Tool 7-Zip ausl\u00f6ste. Leser JoBar hat sich mit folgendem Kommentar<\/a> gemeldet (danke daf\u00fcr).<\/p>\n

Updates f\u00fcr Defender (u.a. Microsoft-Stuff) k\u00f6nnten allerdings aktuell Probleme bekommen:<\/p>\n

Bei uns schrillten heute Morgen die Alarmglocken<\/p>\n

\"Advanced Threat Protection:
\nA threat has been detected in your network<\/p>\n

The source IP\/host listed below was found to communicate with a potentially malicious site outside your company\"<\/p>\n

und die entsprechende IP war 209(.)197(.)3(.)8 -> ReverseDNS ctldl(.)windowsupdate(.)com<\/p>\n

Diese scheinen laut VirusTotal momentan ein Haufen Scanner zu blacklisten.<\/p><\/blockquote>\n

Es ist die gleiche IP genannt, die auch in obigen Sophos Firewall-Alarm auftaucht. Ich gehe von einem Fehlalarm aus.<\/p>\n","protected":false},"excerpt":{"rendered":"

Ich kippe mal einen schnelle Information hier im Blog ein. Administratoren einer Firewall von Sophos laufen ggf. in das Problem, dass IP-Adressen von Microsoft (Windows Update) als C2-Angriff gemeldet und geblockt werden. Zudem scheint es auch von\u00a0 weiteren Virenscannern am … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161],"tags":[4328,4313],"class_list":["post-282962","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","tag-sicherheit","tag-virenschutz"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282962","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=282962"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282962\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=282962"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=282962"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=282962"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}