Anasayfa » Forum

Trend Micro Deep Di...
 

[Çözüldü] Trend Micro Deep Discovery Email Inspector (DDEI) Üzerinde YARA Kuralları ile Makro İçerikli Microsoft Office Dosyalarını Bloklama  

  RSS
Abdulkadir SİVRİ
(@a-kadirsivri)
Üye

Makro içeren csv dosyaları Trend Micro Deep Security Email Inspector (Trend Micro Mail sandbox) geçerek kullanıcılara ulaşıyordu.

Gelen csv dosyalarında yaptığım araştırmada aşağıdaki kelimelerin ortak olduğunu gördüm. Bu kelimeleri kullanarak aşağıdaki yara kuralını yazdım.

Bu kuralı da Administratotion > Scanning / Analysis > YARA Rules menüsünden DDEI ekledim. Sonra ekteki maili tekrar Administratotion > Scanning> Email Submission menüsünden analize soktuğumda aşağıda da göreceğiniz gibi mail artık bloklanıyor.

rule csv_dde
{
               strings:
                              $a = ".jar"
                              $b = "%temp%"
                              $c = "powershell"
                              $d = "DownloadFile"
                              $e = "WebClient"
                          condition:
                            $a or $b or $c or $d or $e
}

Yara kuralın eklenmiş hali

yara ile csv engelleme

Yara kural ile bloklanan maillerin log bilgisi

yara log

Bu konu 1 ay önce Abdulkadir SİVRİ tarafından düzenlendi
Bu konu 1 ay önce Hakan Uzuner tarafından düzenlendi
Alıntı
Gönderildi : 15/09/2019 18:41
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Paylaşım için teşekkürler.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 16/09/2019 18:24
Paylaş:

Lütfen Giriş yap yada Kayıt ol