Office Macros / AW: [ext] Absender bei bestimmten Dateitypen benachrichtigen

Carsten Rosenberg cr at ncxs.de
Mo Dez 17 20:50:36 CET 2018


Die OLE Erkennung im ClamAV selbst arbeitet auch sehr ordentlich.

# /etc/clamd.conf
ScanOLE2 true
OLE2BlockMacros true

Dann gibt der ClamAV Heuristics.OLE2.ContainsMacros als Virusnamen aus,
was man dann entsprechend im Amavis und Rspamd abfangen kann.

Das Problem ist ja meistens, dass man Macros nicht per se blocken möchte.

Beim Spamassassin kann man OLEMacro empfehlen, dass ein einfaches
matching auf autoexec Funktionen macht.

Für den Rspamd haben wir gerade einen Prototypen mit oletools gebaut und
bei uns und ersten Kunden schon im Einsatz. Also ähnlich dem Macromilter
nur direkt im Rspamd.
Damit lassen sich ziemlich granular böse Funktionsgruppen (automatische
Ausführung, Schreiben ins Dateisystem, Shellaufrufe) oder einzelne
Funktionen mit Aktionen belegen. Das Plugin muss nur noch n bisl
aufgeräumt werden.

VG Carsten





On 17.12.18 16:08, Wiethoff, Helge wrote:
> Hallo zusammen,
> 
> vielleicht etwas Off-Topic:
> 
> Wir hatten das Problem größtenteils mit doc-Dateien, die Schadsoftware
> nachgeladen haben. Mit ClamAV lassen sich auch yara-Regeln einbinden und damit
> können Office-Makros ganz okay erkannt werden:
> /var/lib/clamav# cat yara_officemacros.yar
> rule office_macro
> {
>     meta:
>         description = "M$ Office document containing a macro"
>         thread_level = 1
>         in_the_wild = true
>     strings:
>         $a = {d0 cf 11 e0}
>         $b = {00 41 74 74 72 69 62 75 74 00}
>     condition:
>         $a at 0 and $b
> }
> 
> Jetzt haben wir rspamd so konfiguriert, dass Mails die auf das pattern matchen
> einen positiven score nahe der Ablehnung erhalten (+15). Wenn keine "positiven
> Eigenschaften" noch hinzukommen (IP-reputation, etc.) wird die Mail abgelehnt.
> 
> Das funktioniert bei uns jetzt seit einem guten Monat ganz ordentlich.
> 
> 
> Viele Grüße
> Helge
> 
> 
> --
> Helge Wiethoff
> Rechenzentrum
> +49 (234) 968 8717
> 
> 
>> -----Ursprüngliche Nachricht-----
>> Von: Postfixbuch-users <postfixbuch-users-bounces at listen.jpberlin.de> Im
>> Auftrag von Carsten Rosenberg
>> Gesendet: Montag, 17. Dezember 2018 12:39
>> An: postfixbuch-users at listen.jpberlin.de
>> Betreff: Re: [ext] Absender bei bestimmten Dateitypen benachrichtigen
>>
>> Hi,
>>
>> wir haben das mit policy banks und dann als Content-Filter umgesetzt.
>>
>> Also .exe & Co wird Pre-Queue abgelehnt. Dann kannst du mit den
>> entsprechenden Postfix Funktionen bestimmte Mails (z.B. mit Doc) oder
>> alle Mails nochmal durch einen Content-Filter schicken.
>>
>> In der Policy Bank wird das Doc geblockt (und ja gebounced). Aber man
>> kann ein Custom Template verwenden in dem man explizit auf das Verbot
>> von Office Dokumenten eingeht.
>>
>> Viele Grüße
>>
>> Carsten
>>
>> On 17.12.18 11:25, IT Newsletter wrote:
>>> Hallo Ralf,
>>>
>>> derzeit landen bei uns alle Mails mit unerwünschten Anhängen in der
>>> Quarantäne. Wir wollen aber die Absender, die uns Office Dokumente
>>> senden, informieren dass die Mail geblockt wurde. Allerdings nur bei
>>> Office Dokumenten und nicht generell bei allen Dateitypen.
>>>
>>> Grüße, Martin.
>>>
>>> Am 17.12.2018 um 11:16 schrieb Ralf Hildebrandt:
>>>> * IT Newsletter <it-newsletter at bsi-data.de>:
>>>>> Hallo Liste,
>>>>>
>>>>> gibt es eine Möglichkeit den Absender nur bei bestimmten Dateianhängen
>>>>> zu benachrichtigen?
>>>>>
>>>>> So soll der Absender z.B. informiert werden, wenn er uns Office
>>>>> Dokumente sendet, dass wir keine Office Dokumente annehmen und er dies
>>>>> als PDF erneut senden soll. Andererseits sollte keine Benachrichtigung
>>>>> gesendet werden wenn z.B. eine .exe Datei im Anhang ist.
>>>>
>>>> Also, wir machen das mit Amavis, der einfach (an den Rechnungseingang)
>>>> alle Mails abweist, deren Anhänge nicht PDF, HTML, plain/text und
>>>> einige Bildtypen sind.
>>>>


Mehr Informationen über die Mailingliste Postfixbuch-users