Wie teste ich, ob rspamd mit den OLEtools funktioniert

Di Nov 26 15:46:31 CET 2019

Ich habe mal wieder ein Problem.

Heute ist mal wieder eine Word-Datei durchgerutscht und ich weiß nicht, ob meine oletools und olefy korrekt mit rspamd funktionieren.

Wenn ich die Datei auf den Mailserver kopiere und mit olevba3 analysiere, erscheint:

+------------+--------------+-----------------------------------------+
| Type       | Keyword      | Description                             |
+------------+--------------+-----------------------------------------+
| Suspicious | Open         | May open a file                         |
| Suspicious | Output       | May write to a file (if combined with   |
|            |              | Open)                                   |
| Suspicious | Print #      | May write to a file (if combined with   |
|            |              | Open)                                   |
| Suspicious | MkDir        | May create a directory                  |
| Suspicious | CreateObject | May create an OLE object                |
| Suspicious | CallByName   | May attempt to obfuscate malicious      |
|            |              | function calls                          |
| Suspicious | Chr          | May attempt to obfuscate specific       |
|            |              | strings (use option --deobf to          |
|            |              | deobfuscate)                            |
+------------+--------------+-----------------------------------------+

Das sollte also eigentlich blockiert werden, korrekt?
Virustotal sagt mir dasselbe.

Wo fange ich mit dem Debuggen an?

Viele Grüße!
Frank
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster