Forum

Trend Micro Deep Di...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Trend Micro Deep Discovery Email Inspector (DDEI) Üzerinde YARA Kuralları ile Makro İçerikli Microsoft Office Dosyalarını Bloklama

3 Yazılar
3 Üyeler
0 Reactions
3,112 Görüntüleme
(@a-kadirsivri)
Gönderiler: 17
Eminent Member
Konu başlatıcı
 

Makro içeren csv dosyaları Trend Micro Deep Security Email Inspector (Trend Micro Mail sandbox) geçerek kullanıcılara ulaşıyordu.

Gelen csv dosyalarında yaptığım araştırmada aşağıdaki kelimelerin ortak olduğunu gördüm. Bu kelimeleri kullanarak aşağıdaki yara kuralını yazdım.

Bu kuralı da Administratotion > Scanning / Analysis > YARA Rules menüsünden DDEI ekledim. Sonra ekteki maili tekrar Administratotion > Scanning> Email Submission menüsünden analize soktuğumda aşağıda da göreceğiniz gibi mail artık bloklanıyor.

rule csv_dde
{
               strings:
                              $a = ".jar"
                              $b = "%temp%"
                              $c = "powershell"
                              $d = "DownloadFile"
                              $e = "WebClient"
                          condition:
                            $a or $b or $c or $d or $e
}

Yara kuralın eklenmiş hali

yara ile csv engelleme

Yara kural ile bloklanan maillerin log bilgisi

yara log
Bu konu 5 yıl önce Abdulkadir SİVRİ tarafından düzenlendi
 
Gönderildi : 15/09/2019 18:41

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33322
Illustrious Member Yönetici
 

Paylaşım için teşekkürler.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 16/09/2019 18:24

(@furkansedali)
Gönderiler: 2
New Member
 

Paylaşım için teşekkürler hocam,

Bu parametreler diğer office dosyaları için de geçerli olur mu yoksa sadece csv dosyaları için mi?

 
Gönderildi : 10/11/2023 18:00

Paylaş: