Forum
Makro içeren csv dosyaları Trend Micro Deep Security Email Inspector (Trend Micro Mail sandbox) geçerek kullanıcılara ulaşıyordu.
Gelen csv dosyalarında yaptığım araştırmada aşağıdaki kelimelerin ortak olduğunu gördüm. Bu kelimeleri kullanarak aşağıdaki yara kuralını yazdım.
Bu kuralı da Administratotion > Scanning / Analysis > YARA Rules menüsünden DDEI ekledim. Sonra ekteki maili tekrar Administratotion > Scanning> Email Submission menüsünden analize soktuğumda aşağıda da göreceğiniz gibi mail artık bloklanıyor.
rule csv_dde
{
strings:
$a = ".jar"
$b = "%temp%"
$c = "powershell"
$d = "DownloadFile"
$e = "WebClient"
condition:
$a or $b or $c or $d or $e
}
Yara kuralın eklenmiş hali
Yara kural ile bloklanan maillerin log bilgisi
Paylaşım için teşekkürler.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Paylaşım için teşekkürler hocam,
Bu parametreler diğer office dosyaları için de geçerli olur mu yoksa sadece csv dosyaları için mi?