Forum

Mailde Ekli Rar İ&#...
 
Bildirimler
Hepsini Temizle

Mailde Ekli Rar İçerisinde Javascript dosyası

5 Yazılar
2 Üyeler
0 Reactions
707 Görüntüleme
(@GokhanCOLAK)
Gönderiler: 11
Active Member
Konu başlatıcı
 

Merhaba,

 

Domanimde olmayan mail hesabı varmış gibi şirket içerisine .rar dosyası içinde javascript dosyası gönderiyor, belki dışarıya da gönderiyordur. Hatta öyleki bazen benim mail hesabımı kullanıyor, bazen fake [email protected] gibi hesaptan gönderiyor, yanıtla dediğmde boyle bir mail hesabı yok uyarısı alıyorum. Sorunumla ilgili yardımcı olursanız sevinirim.

 
Gönderildi : 30/04/2016 11:57

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Merhaba,

Bu tür durumlar için bütçe ayırıp güvenlik ürünleri almanız gerekli, yani mail sisteminin önüne bir tane SMTP gateway, gerekir ise de üstüne transport seviyesinde çalışan yine bir AV - AS koymadığınız süreceb enzer spoof ataklarına maruz kalacaksınız.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 30/04/2016 15:28

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Merhaba,

Yeni nesil cryptolocker ataklarına önlem sunuyorlar mı?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 02/05/2016 19:51

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Bu durumda biraz reklam olmuş aslında bu paylaşım, çünkü sandbox özelliği yok ise cevap burası olamaz, bence office 365 ATP veya Trend Micro Clodu App Security gibi sandbox ve URL rewrite özelliği olan bir ürün kullanın çünkü cryptolocker zaten bir zero day, yani onu mx, spf vs durduramazsınız.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 03/05/2016 11:37

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Öncelikle ne Office 365 benim kendi ürünüm ne de Trend Micro, neden niyetim iyi ve kötü olsun ki? Sen bizzat bu ürünü sattığını söylemişsin yani sen reklam yapıyorsun, bu çok açık ve net. Ben ürün öneriyorum bu ürünü istediğin yerden alabilirsin hatta sen bile satabilirsin, benim görevim uzmanlığım doğrultusunda bilgi paylaşımı yapmak.

Gelelim teknik konulara, bu konuyu ne kadar takip ediyorsun bilmiyorum ama sürekli olarak evrimleşen bu atak senin bahsettiğin SPF miş yok MX ile engellenemeyeceğini biliyorsun da bunu neden yazıyorsun? Zero day ne demek? genel bir kavramdır, yani mail olsun, kötü içerikli kod olsun henüz tespit edilmemiş demektir, bu nedenle zaten mail atan domain veya ip tespit edilmiş olsa senin söylediğin yöntemler ile yıllardır koruma sağlanıyor, yani yine senin yazdığın yöntemler ile bu mailleri durdurman imkansız.

Gelelim önerdiğim ürünlere, yine belirttiğim gibi ilk saldırı tipleri ( seninde yazdığın gibi ) ekli geliyordu ve bu konuda sandbox çözümleri çok başarılı bir sonuç gösterdi, ancak kötü niyetli kişiler bunun aşmak için artık son dönem yaptıkları ataklarda artık ekli mail göndermiyor, ancak ekli mail olmasa bile yine sandbox çözümleri gelen URL adreslerini de kontrol ediyordu, bu sefer bir sonraki dalgalarda artık resim ile doğrulama koydular bu da ne yazık ki sandbox çözümlerini de zora sokan bir durum oldu. Önerdiğim veya piyasada ki ürünler önlem amaçlı kullanılan ürünlerdir ve sürekli olarak saldırı düzeni değişen bu araklar için %100 koruma çok zor sağlanır. Bunun için öncelikle MTA tarafında bir önlem ile bunları içeri almamaya gayret göstermeli, ama sızanlari için desktop AV seviyesinde önlem alınmalı, desktop AV malum her şeyi yakalayamayabilir diye özellikle bir de URL için websense veya benzeri bir proxy server ile tam güvenlik sağlanabilir.

URL yeniden yazmaya da laf atmışsınız 🙂 zaten mail text geliyor ise sorun yok merak etmeyin onu kopyalayıp browser' ı yapıştıran pek çıkmaz, ama çıkar ise emin olun yine bu teknolojiyi kullanan bu metni de değiştirirler. Sonuçta mail adamların sistemi üzerinden geçiyor.

Son bir ek, mailde zaten dertli arkadaş EK var demiş 🙂 yani EK var ise en doğru çözüm Sandbox' dır.

 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 03/05/2016 16:41

Paylaş: