Die Sophos UTM bietet unter “Network Protection” –> “Advanced Threat Protection” eine Funktion an, mit der man das Netzwerk nach Malware überwachen kann. Dabei wird ausgenutzt, dass viele Malware eine Verbindung mit sogenannten “Command and Control” Servern aufnimmt, um Daten zu übermitteln oder neue Befehle entgegen zu nehmen. Wenn ein Computer versucht, eine Verbindung mit einem bekannten “Command and Control” Server aufzunehmen, wird die Verbindung geblockt und ein Alarm angezeigt (und per Mail verschickt).

Dies bietet neben einem lokal installierten Virenschutz auf den Clients eine weitere Barriere gegen Malware in einem Netzwerk. Genauere Informationen über den Vorfall erhält man, wenn man unter “Logging & Reporting” –> “View Log Files” –> “Advanced Threat Protection” –> “View” auswählt.

In dieser Datei wird angezeigt, welcher Client mit welchem Server Kontakt aufnehmen wollte. Dummerweise wird hier der DNS Server angezeigt.

Wenn die Malware eine Verbindung zu ihrem “Command and Control” Server über einen Domänennamen und nicht über eine fixe IP Adresse herstellen will, stellt der Computer zuerst eine DNS Anfrage an den DNS Server. Wenn dieser den Eintrag nicht selber liefern kann, stellt dieser eine weitere Anfrage an den externen DNS Server (häufig derjenige des Providers), um die entsprechende IP Adresse zu erhalten. Dies bedeutet also, dass auf der Firewall der DNS Server der erste ist, der eine Anfrage nach dem betroffenen DNS Namen resp. der IP auslöst. Dies ist meiner Meinung nach ein Fehlverhalten der UTM. Besser wäre es, wenn die DNS Abfrage zugelassen wäre (dies ist ja nur Verkehr mit dem vorgelagerten DNS Server) und erst der direkte Kontakt des Clients mit dem entsprechenden Server unterbunden würde. Dann könnte man im Logfile auch den Client identifizieren. Da ich nicht ganz sicher bin, habe ich eine Anfrage im Forum gestellt).

Da ich schon einmal so einen Vorfall hatte und wissen wollte, welches der betroffene Client ist, habe ich auf dem DNS Server Logging aktiviert. Weil das viel Last auf dem Server generiert, sollte man das nur zu Testzwecken aktivieren. Habe nun aber gesehen, dass es eine andere Möglichkeit gibt, die nicht so viel Last erzeugen sollte.

Auf jeden Fall findet man in den DNS Logs dann den Client, der die Anfrage ausgelöst hat, wenn man z.B. nach dem Domänennamen sucht (in meinem Fall cwporter).

Nun kann man diesen Client weiter überprüfen. Die beste ist wohl, den Client neu aufzusetzen, die zweitbeste, den Computer mit mehreren Virenscannern aus einer verlässlichen Umgebung zu testen und am Schluss kann man noch mit dem im Betriebssystem installierten Virenscanner einen Vollscan auslösen, was die unsicherste Methode ist.

Die Seite cwporter hat mit dem zweiten Weltkrieg zu tun.

Es ist also gut möglich, dass eine Lehrperson nur durch eine Internetrecherche auf diese Seite gekommen ist. Auch wenn auf dieser Seite ein “Command and Control” Server aktiv wäre (z.B. weil der Webserver gehackt wurde) wird der Alarm von der Sophos UTM reproduzierbar wieder ausgelöst, wenn man versucht, in einem Browser die Seite aufzurufen. Die UTM kann ja nicht entscheiden, ob eine Malware diesen Aufruf ausgelöst hat, oder ein Benutzer durch eine Internetrecherche. Es kann sich also genauso gut um eine sogenannte “false positive” Meldung handeln.

Auf jeden Fall handelt es sich bei Advanced Threat Protection um eine weitere sinnvolle Möglichkeit, sein Netzwerk gegen Malware zu schützen.