[Çözüldü] Trend Micro Deep Discovery Email Inspector (DDEI) Üzerinde YARA Kuralları ile Makro İçerikli Microsoft Office Dosyalarını Bloklama

Makro içeren csv dosyaları Trend Micro Deep Security Email Inspector (Trend Micro Mail sandbox) geçerek kullanıcılara ulaşıyordu.

Gelen csv dosyalarında yaptığım araştırmada aşağıdaki kelimelerin ortak olduğunu gördüm. Bu kelimeleri kullanarak aşağıdaki yara kuralını yazdım.

Bu kuralı da Administratotion > Scanning / Analysis > YARA Rules menüsünden DDEI ekledim. Sonra ekteki maili tekrar Administratotion > Scanning> Email Submission menüsünden analize soktuğumda aşağıda da göreceğiniz gibi mail artık bloklanıyor.

rule csv_dde
{
               strings:
                              $a = ".jar"
                              $b = "%temp%"
                              $c = "powershell"
                              $d = "DownloadFile"
                              $e = "WebClient"
                          condition:
                            $a or $b or $c or $d or $e
}

Yara kuralın eklenmiş hali

Yara kural ile bloklanan maillerin log bilgisi