Wie teste ich, ob rspamd mit den OLEtools funktioniert

classic Classic list List threaded Threaded
22 messages Options
12
Reply | Threaded
Open this post in threaded view
|

Wie teste ich, ob rspamd mit den OLEtools funktioniert

Frank Fiene
Ich habe mal wieder ein Problem.

Heute ist mal wieder eine Word-Datei durchgerutscht und ich weiß nicht, ob meine oletools und olefy korrekt mit rspamd funktionieren.

Wenn ich die Datei auf den Mailserver kopiere und mit olevba3 analysiere, erscheint:

+------------+--------------+-----------------------------------------+
| Type       | Keyword      | Description                             |
+------------+--------------+-----------------------------------------+
| Suspicious | Open         | May open a file                         |
| Suspicious | Output       | May write to a file (if combined with   |
|            |              | Open)                                   |
| Suspicious | Print #      | May write to a file (if combined with   |
|            |              | Open)                                   |
| Suspicious | MkDir        | May create a directory                  |
| Suspicious | CreateObject | May create an OLE object                |
| Suspicious | CallByName   | May attempt to obfuscate malicious      |
|            |              | function calls                          |
| Suspicious | Chr          | May attempt to obfuscate specific       |
|            |              | strings (use option --deobf to          |
|            |              | deobfuscate)                            |
+------------+--------------+-----------------------------------------+


Das sollte also eigentlich blockiert werden, korrekt?
Virustotal sagt mir dasselbe.

Wo fange ich mit dem Debuggen an?



Viele Grüße!
Frank
--
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

Reply | Threaded
Open this post in threaded view
|

Re: Wie teste ich, ob rspamd mit den OLEtools funktioniert

Frank Fiene
Da wird uns der Carsten bestimmt helfen! :-)

/etc/olefy.conf:

# olefy socket Configuration file                                                                                                                     

OLEFY_BINDADDRESS=127.0.0.1
OLEFY_BINDPORT=10050

# systemd PrivateTmp is used. The path will be /tmp/systemd....olefy.../tmp                                                                           
OLEFY_TMPDIR=/tmp

# no command line options allowed here                                                                                                                
OLEFY_PYTHON_PATH=/usr/bin/python3
# no command line options allowed here                                                                                                                
OLEFY_OLEVBA_PATH=/usr/local/bin/olevba3

# 10:DEBUG, 20:INFO, 30:WARNING, 40:ERROR, 50:CRITICAL                                                                                                
OLEFY_LOGLVL=30

# olefy will do nothing with files under MINLENGTH characters                                                                                         
OLEFY_MINLENGTH=500

# 0 - do not delete tmp files, 1 - delete tmp files                                                                                                   
#  regardless this setting systemd will restart the service all 4h                                                                                    
#  and creates a new PrivateTmp                                                                                                                       
OLEFY_DEL_TMP=1



/etc/rspamd/local.d/external_services.conf:

oletools {
  servers = "127.0.0.1:10050"
  action = "reject";
  max_size = 20000000;
  log_clean = true;
  cache_expire = 86400;
  scan_mime_parts = true;
  extended = false;
}


Der Dienst läuft und olevba3 funktioniert wie im Eingangsposting zu sehen:

 7138 ?        Ss     0:00 /usr/bin/python3 /usr/local/bin/olefy.py




Viele Grüße! Frank



Am 26.11.2019 um 15:46 schrieb Frank Fiene <[hidden email]>:

Ich habe mal wieder ein Problem.

Heute ist mal wieder eine Word-Datei durchgerutscht und ich weiß nicht, ob meine oletools und olefy korrekt mit rspamd funktionieren.

Wenn ich die Datei auf den Mailserver kopiere und mit olevba3 analysiere, erscheint:

+------------+--------------+-----------------------------------------+
| Type       | Keyword      | Description                             |
+------------+--------------+-----------------------------------------+
| Suspicious | Open         | May open a file                         |
| Suspicious | Output       | May write to a file (if combined with   |
|            |              | Open)                                   |
| Suspicious | Print #      | May write to a file (if combined with   |
|            |              | Open)                                   |
| Suspicious | MkDir        | May create a directory                  |
| Suspicious | CreateObject | May create an OLE object                |
| Suspicious | CallByName   | May attempt to obfuscate malicious      |
|            |              | function calls                          |
| Suspicious | Chr          | May attempt to obfuscate specific       |
|            |              | strings (use option --deobf to          |
|            |              | deobfuscate)                            |
+------------+--------------+-----------------------------------------+


Das sollte also eigentlich blockiert werden, korrekt?
Virustotal sagt mir dasselbe.

Wo fange ich mit dem Debuggen an?



Viele Grüße!
Frank
--
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster


Viele Grüße!
i.A. Frank Fiene
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

Reply | Threaded
Open this post in threaded view
|

Re: Wie teste ich, ob rspamd mit den OLEtools funktioniert

Frank Fiene
Oh, und wenn diese Warnung manchmal erscheint, scheint alles technisch zu funktionieren, oder?

smtp1 rspamd[29096]: <f93b82>; lua; oletools.lua:186: oletools: olefy could not open the file - error: Failed to open file /tmp/1574777463.4640603.42676 is RTF, need to run rtfobj.py and find VBA Macros in its output.



...

Viele Grüße!
i.A. Frank Fiene
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

Reply | Threaded
Open this post in threaded view
|

Re: [ext] Wie teste ich, ob rspamd mit den OLEtools funktioniert

Ralf Hildebrandt
In reply to this post by Frank Fiene
* Frank Fiene <[hidden email]>:
> Ich habe mal wieder ein Problem.
>
> Heute ist mal wieder eine Word-Datei durchgerutscht und ich weiß nicht, ob meine oletools und olefy korrekt mit rspamd funktionieren.

Ich sehe konkret sowas:

...,OLETOOLS_FAIL(0.00){failed - err: RETURN_OPEN_ERROR;},...
...,OLETOOLS_FAIL(0.00){failed to scan, maximum retransmits exceed - err: memory:7 unmatched open brace at 5; memory:7 unmatched open brace at 3; memory:7 unmatched open brace at 1; ;},...

Auch interessant:
=================

Nov 27 11:19:52 mail-cbf python3[61695]: olefy DEBUG eof_received <3142b7> /tmp/1574849992.6205263.58698 choosen as tmp filename
Nov 27 11:19:52 mail-cbf python3[61695]: olefy INFO oletools <3142b7> application/pdf (libmagic output)

Warum will er einen PDF Anhang untersuchen? Ich habe explizit gesetzt:

   mime_parts_filter_regex {
   # UNKNOWN = "application\/octet-stream";
   DOC2 = "application\/msword";
   DOC3 = "application\/vnd\.ms-word.*";
   XLS = "application\/vnd\.ms-excel.*";
   PPT = "application\/vnd\.ms-powerpoint.*";
   GENERIC = "application\/vnd\.openxmlformats-officedocument.*";
   }

   mime_parts_filter_ext {
        doc = "doc";
        dot = "dot";
        docx = "docx";
        dotx = "dotx";
        docm = "docm";
        dotm = "dotm";
        xls = "xls";
        xlt = "xlt";
        xla = "xla";
        xlsx = "xlsx";
        xltx = "xltx";
        xlsm = "xlsm";
        xltm = "xltm";
        xlam = "xlam";
        xlsb = "xlsb";
        ppt = "ppt";
        pot = "pot";
        pps = "pps";
        ppa = "ppa";
        pptx = "pptx";
        potx = "potx";
        ppsx = "ppsx";
        ppam = "ppam";
        pptm = "pptm";
        potm = "potm";
        ppsm = "ppsm";
   }
                                                                   
gesetzt.

Ah, deswegen:
Nov 27 11:19:52 mail-cbf amavis[45803]: (45803-14) p003 1/2 Content-Type: application/pdf, base64, size: 38240, SHA1 digest: 9fed25f7d140b5d00f77654180b8e6089742bccf, name: Ablaufplan_Musterzimmer_BHH.xls.pdf

Der Name ist irgendwas.xls.pdf

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           

signature.asc (201 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: [ext] Wie teste ich, ob rspamd mit den OLEtools funktioniert

Carsten Rosenberg


On 27.11.19 11:31, Ralf Hildebrandt wrote:
> * Frank Fiene <[hidden email]>:
>> Ich habe mal wieder ein Problem.
>>
>> Heute ist mal wieder eine Word-Datei durchgerutscht und ich weiß nicht, ob meine oletools und olefy korrekt mit rspamd funktionieren.
>
> Ich sehe konkret sowas:
>
> ...,OLETOOLS_FAIL(0.00){failed - err: RETURN_OPEN_ERROR;},...
> ...,OLETOOLS_FAIL(0.00){failed to scan, maximum retransmits exceed - err: memory:7 unmatched open brace at 5; memory:7 unmatched open brace at 3; memory:7 unmatched open brace at 1; ;},...

Ist das Rspamd 2.2 mit aktuellem olefy? Sieht mir nach einem kaputten
json Report aus.

>
> Auch interessant:
> =================
>
> Nov 27 11:19:52 mail-cbf python3[61695]: olefy DEBUG eof_received <3142b7> /tmp/1574849992.6205263.58698 choosen as tmp filename
> Nov 27 11:19:52 mail-cbf python3[61695]: olefy INFO oletools <3142b7> application/pdf (libmagic output)
>
> Warum will er einen PDF Anhang untersuchen? Ich habe explizit gesetzt:
>    
> gesetzt.
>
> Ah, deswegen:
> Nov 27 11:19:52 mail-cbf amavis[45803]: (45803-14) p003 1/2 Content-Type: application/pdf, base64, size: 38240, SHA1 digest: 9fed25f7d140b5d00f77654180b8e6089742bccf, name: Ablaufplan_Musterzimmer_BHH.xls.pdf
>
> Der Name ist irgendwas.xls.pdf

Ja der match derzeit einfach dumm auf beide Extensions. Ich weiß leider
nicht mehr warum ich das beabsichtigt habe. Was meint Ihr, ist das
generell sinnvoll für Filescanner? Windows sollte
Ablaufplan_Musterzimmer_BHH.xls.pdf nicht als Excel ausführen.

VG Carsten
Reply | Threaded
Open this post in threaded view
|

Re: Wie teste ich, ob rspamd mit den OLEtools funktioniert

Carsten Rosenberg
In reply to this post by Frank Fiene
Hey,

oletools hat hier nicht gegriffen, weil der Type Autoexec fehlt. Die
Funktion kann aber auch nur nicht erkannt worden sein.


Hier grad mehr dazu:
https://www.heinlein-support.de/blog/news/emotet-mit-rspamd-und-oletools-bekaempfen/
https://www.heinlein-support.de/blog/news/emotet-mit-rspamd-und-oletools-bekaempfen-teil-2/

Kannst du mir die Datei zur Verfügung stellen?
Welche Version der oletools hast du installiert?


Viele Grüße

Carsten

On 26.11.19 15:46, Frank Fiene wrote:

> Ich habe mal wieder ein Problem.
>
> Heute ist mal wieder eine Word-Datei durchgerutscht und ich weiß nicht, ob meine oletools und olefy korrekt mit rspamd funktionieren.
>
> Wenn ich die Datei auf den Mailserver kopiere und mit olevba3 analysiere, erscheint:
>
> +------------+--------------+-----------------------------------------+
> | Type       | Keyword      | Description                             |
> +------------+--------------+-----------------------------------------+
> | Suspicious | Open         | May open a file                         |
> | Suspicious | Output       | May write to a file (if combined with   |
> |            |              | Open)                                   |
> | Suspicious | Print #      | May write to a file (if combined with   |
> |            |              | Open)                                   |
> | Suspicious | MkDir        | May create a directory                  |
> | Suspicious | CreateObject | May create an OLE object                |
> | Suspicious | CallByName   | May attempt to obfuscate malicious      |
> |            |              | function calls                          |
> | Suspicious | Chr          | May attempt to obfuscate specific       |
> |            |              | strings (use option --deobf to          |
> |            |              | deobfuscate)                            |
> +------------+--------------+-----------------------------------------+
>
>
> Das sollte also eigentlich blockiert werden, korrekt?
> Virustotal sagt mir dasselbe.
>
> Wo fange ich mit dem Debuggen an?
>
>
>
> Viele Grüße!
> Frank
>
Reply | Threaded
Open this post in threaded view
|

Re: [ext] Wie teste ich, ob rspamd mit den OLEtools funktioniert

Ralf Hildebrandt
In reply to this post by Carsten Rosenberg
> > Ich sehe konkret sowas:
> >
> > ...,OLETOOLS_FAIL(0.00){failed - err: RETURN_OPEN_ERROR;},...
> > ...,OLETOOLS_FAIL(0.00){failed to scan, maximum retransmits exceed - err: memory:7 unmatched open brace at 5; memory:7 unmatched open brace at 3; memory:7 unmatched open brace at 1; ;},...
>
> Ist das Rspamd 2.2 mit aktuellem olefy? Sieht mir nach einem kaputten
> json Report aus.

Ja, ist es. Es stellte sich heraus, daß olevba gekotzt hat:

Nov 27 11:30:46 mail-cbf python3[48534]: olefy ERROR oletools <6b3d68> olevba exited with code 8; err: 'ERROR    Unhandled exception in main:
must be str, not bytes\nTraceback (most recent call last):\n  File "/usr/local/lib/python3.6/dist-packages/oletools/olevba.py", line
3999, in main\n    curr_return_code = process_file(filename, data, container, options)\n  File
"/usr/local/lib/python3.6/dist-packages/oletools/olevba.py", line 3818, in process_file\n    relaxed=options.relaxed)\n  File
"/usr/local/lib/python3.6/dist-packages/oletools/olevba.py", line 3434, in __init__\n    super(VBA_Parser_CLI, self).__init__(*args,
**kwargs)\n  File "/usr/local/lib/python3.6/dist-packages/oletools/olevba.py", line
2603, in __init__\n    self.open_ppt()\n  File "/usr/local/lib/python3.6/dist-packages/oletools/olevba.py", line
2902, in open_ppt\n    for vba_data in ppt.iter_vba_data():\n  File "/usr/local/lib/python3.6/dist-packages/oletools/ppt_parser.py", line
1147, in wrapped\n    for result in func(self, self._open_main_stream, *args, **kwargs):\n  File
"/usr/local/lib/python3.6/dist-packages/oletools/ppt_parser.py", line 1604, in iter_vba_data\n    yield
self.decompress_vba_storage(storage)\n  File "/usr/local/lib/python3.6/dist-packages/oletools/ppt_parser.py", line
1114, in wrapped\n    return func(self, self._open_main_stream, *args, **kwargs)\n  File
"/usr/local/lib/python3.6/dist-packages/oletools/ppt_parser.py", line 1555, in decompress_vba_storage\n    iterative_decompress(stream,
storage.data_size)\n  File "/usr/local/lib/python3.6/dist-packages/oletools/ppt_parser.py", line
1624, in iterative_decompress\n    decomp += decompressor.decompress(stream.read(n_new))\nTypeError: must be str,
not bytes\n'

> > Der Name ist irgendwas.xls.pdf
>
> Ja der match derzeit einfach dumm auf beide Extensions. Ich weiß leider
> nicht mehr warum ich das beabsichtigt habe. Was meint Ihr, ist das
> generell sinnvoll für Filescanner? Windows sollte
> Ablaufplan_Musterzimmer_BHH.xls.pdf nicht als Excel ausführen.

Korrekt, daher meine ich, der Match sollte auf die "hinterste" Extension gehen, also nur "\.xls$" (in regexp - was es ja nicht ist)

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

Re: [ext] Re: Wie teste ich, ob rspamd mit den OLEtools funktioniert

Ralf Hildebrandt
In reply to this post by Carsten Rosenberg
> https://www.heinlein-support.de/blog/news/emotet-mit-rspamd-und-oletools-bekaempfen-teil-2/

Wundervoll geschrieben, aber:

  "Dafür gibt es im Rspamd eine Option dynamic_scan."

Wo eintragen?
Ich sehe, daß das der default ist für oletools (https://github.com/rspamd/rspamd/blob/master/lualib/lua_scanners/oletools.lua)
Kann das auch für andere external services aktiviert werden?

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

Re: Wie teste ich, ob rspamd mit den OLEtools funktioniert

Frank Fiene
In reply to this post by Carsten Rosenberg
Wo soll ich sie dir hinlegen?

Aktuelle Virenpattern erkennen die Datei schon als Virus.


Viele Grüße! 


Am 27.11.2019 um 11:45 schrieb Carsten Rosenberg <[hidden email]>:

Hey,

oletools hat hier nicht gegriffen, weil der Type Autoexec fehlt. Die
Funktion kann aber auch nur nicht erkannt worden sein.


Hier grad mehr dazu:
https://www.heinlein-support.de/blog/news/emotet-mit-rspamd-und-oletools-bekaempfen/
https://www.heinlein-support.de/blog/news/emotet-mit-rspamd-und-oletools-bekaempfen-teil-2/

Kannst du mir die Datei zur Verfügung stellen?
Welche Version der oletools hast du installiert?


Viele Grüße

Carsten

On 26.11.19 15:46, Frank Fiene wrote:
Ich habe mal wieder ein Problem.

Heute ist mal wieder eine Word-Datei durchgerutscht und ich weiß nicht, ob meine oletools und olefy korrekt mit rspamd funktionieren.

Wenn ich die Datei auf den Mailserver kopiere und mit olevba3 analysiere, erscheint:

+------------+--------------+-----------------------------------------+
| Type       | Keyword      | Description                             |
+------------+--------------+-----------------------------------------+
| Suspicious | Open         | May open a file                         |
| Suspicious | Output       | May write to a file (if combined with   |
|            |              | Open)                                   |
| Suspicious | Print #      | May write to a file (if combined with   |
|            |              | Open)                                   |
| Suspicious | MkDir        | May create a directory                  |
| Suspicious | CreateObject | May create an OLE object                |
| Suspicious | CallByName   | May attempt to obfuscate malicious      |
|            |              | function calls                          |
| Suspicious | Chr          | May attempt to obfuscate specific       |
|            |              | strings (use option --deobf to          |
|            |              | deobfuscate)                            |
+------------+--------------+-----------------------------------------+


Das sollte also eigentlich blockiert werden, korrekt?
Virustotal sagt mir dasselbe.

Wo fange ich mit dem Debuggen an?



Viele Grüße!
Frank


Viele Grüße!
i.A. Frank Fiene
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

Reply | Threaded
Open this post in threaded view
|

Re: [ext] Re: Wie teste ich, ob rspamd mit den OLEtools funktioniert

Carsten Rosenberg
In reply to this post by Ralf Hildebrandt


On 27.11.19 11:53, Ralf Hildebrandt wrote:
>> https://www.heinlein-support.de/blog/news/emotet-mit-rspamd-und-oletools-bekaempfen-teil-2/
>
> Wundervoll geschrieben, aber:
>
>   "Dafür gibt es im Rspamd eine Option dynamic_scan."
>
> Wo eintragen?
> Ich sehe, daß das der default ist für oletools (https://github.com/rspamd/rspamd/blob/master/lualib/lua_scanners/oletools.lua)
> Kann das auch für andere external services aktiviert werden?

Das funktioniert für Antivirus und External Services wenn action=reject
nicht gesetzt ist.

clamav {
  ...
  # erst in der postfilter stage laufen, sonst machts keinen Sinn
  symbol_type = 'postfilter',
  # dynmamisch prüfen ob der Scan noch notwendig ist
  dynamic_scan = true,
}
Reply | Threaded
Open this post in threaded view
|

Re: Wie teste ich, ob rspamd mit den OLEtools funktioniert

Carsten Rosenberg
In reply to this post by Frank Fiene
Hallo Frank,

danke für die Datei. Da ist tatsächlich eine neue Variante des AutoExec
drin. die aktuelle Git Version von oletools hat das schon integriert:

+----------+----------------+-----------------------------------------+
|Type      |Keyword         |Description                              |
+----------+----------------+-----------------------------------------+
|AutoExec  |Image1_Click    |Runs when the file is opened and ActiveX |
|          |                |objects trigger events                   |
|AutoExec  |Image1_MouseMove|Runs when the file is opened and ActiveX |
    |          |                |objects trigger events                   |
|Suspicious|Open            |May open a file                          |
|Suspicious|Output          |May write to a file (if combined with Open)  |
|Suspicious|Print #         |May write to a file (if combined with Open)  |
|Suspicious|MkDir           |May create a directory                   |
|Suspicious|CreateObject    |May create an OLE object                 |
|Suspicious|CallByName      |May attempt to obfuscate malicious function  |
|          |                |calls                                     |
|Suspicious|Chr             |May attempt to obfuscate specific strings|
|          |                |(use option --deobf to deobfuscate)      |
|Suspicious|VBA obfuscated  |VBA string expressions were detected, may be |
|          |Strings         |used to obfuscate strings (option --decode to|
|          |                |see all)
+----------+--------------------+-------------------------------------+

Die git Version kannst du so benutzen:

git clone --recurse-submodules https://github.com/decalage2/oletools.git
/opt/oletools

und in /etc/olefy.conf:

OLEFY_OLEVBA_PATH=/opt/oletools/oletools/olevba.py

VG Carsten

On 27.11.19 12:03, Frank Fiene wrote:
> Wo soll ich sie dir hinlegen?
>
> Aktuelle Virenpattern erkennen die Datei schon als Virus.
>
>
> Viele Grüße!
Reply | Threaded
Open this post in threaded view
|

Re: [ext] Re: Wie teste ich, ob rspamd mit den OLEtools funktioniert

Ralf Hildebrandt
* Carsten Rosenberg <[hidden email]>:
> Hallo Frank,
>
> danke für die Datei. Da ist tatsächlich eine neue Variante des AutoExec
> drin. die aktuelle Git Version von oletools hat das schon integriert:

Würdest Du die empfehlen? Wahrscheinlich schon :)

> Die git Version kannst du so benutzen:
>
> git clone --recurse-submodules https://github.com/decalage2/oletools.git /opt/oletools
>
> und in /etc/olefy.conf:
>
> OLEFY_OLEVBA_PATH=/opt/oletools/oletools/olevba.py

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

Re: Wie teste ich, ob rspamd mit den OLEtools funktioniert

Frank Fiene
In reply to this post by Carsten Rosenberg
Sehr schön.

Mit git ging das nicht, unter thirdparty fehlt so einiges.


Ich habe das jetzt mit 

pip3 install -U https://github.com/decalage2/oletools/archive/master.zip

Wie auf der Homepage dokumentiert installiert und dann wird AutoExec erkannt.
Muss ich eigentlich olefy durchstarten oder werden die oletools zur Laufzeit gezogen?


Danke!

Am 28.11.2019 um 11:08 schrieb Carsten Rosenberg <[hidden email]>:

Hallo Frank,

danke für die Datei. Da ist tatsächlich eine neue Variante des AutoExec
drin. die aktuelle Git Version von oletools hat das schon integriert:

+----------+----------------+-----------------------------------------+
|Type      |Keyword         |Description                              |
+----------+----------------+-----------------------------------------+
|AutoExec  |Image1_Click    |Runs when the file is opened and ActiveX |
|          |                |objects trigger events                   |
|AutoExec  |Image1_MouseMove|Runs when the file is opened and ActiveX |
   |          |                |objects trigger events                   |
|Suspicious|Open            |May open a file                          |
|Suspicious|Output          |May write to a file (if combined with Open)  |
|Suspicious|Print #         |May write to a file (if combined with Open)  |
|Suspicious|MkDir           |May create a directory                   |
|Suspicious|CreateObject    |May create an OLE object                 |
|Suspicious|CallByName      |May attempt to obfuscate malicious function  |
|          |                |calls                                     |
|Suspicious|Chr             |May attempt to obfuscate specific strings|
|          |                |(use option --deobf to deobfuscate)      |
|Suspicious|VBA obfuscated  |VBA string expressions were detected, may be |
|          |Strings         |used to obfuscate strings (option --decode to|
|          |                |see all)
+----------+--------------------+-------------------------------------+

Die git Version kannst du so benutzen:

git clone --recurse-submodules https://github.com/decalage2/oletools.git
/opt/oletools

und in /etc/olefy.conf:

OLEFY_OLEVBA_PATH=/opt/oletools/oletools/olevba.py

VG Carsten

On 27.11.19 12:03, Frank Fiene wrote:
Wo soll ich sie dir hinlegen?

Aktuelle Virenpattern erkennen die Datei schon als Virus.


Viele Grüße!

Viele Grüße!
i.A. Frank Fiene
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

Reply | Threaded
Open this post in threaded view
|

Re: Wie teste ich, ob rspamd mit den OLEtools funktioniert

Carsten Rosenberg


On 28.11.19 16:00, Frank Fiene wrote:
> Sehr schön.
>
> Mit git ging das nicht, unter thirdparty fehlt so einiges.
>

Ich habs leieder nur auf einem System getestet auf dem oletools auch
schon via pip installiert war, danke!

>
> Ich habe das jetzt mit 
>
> pip3 install -U https://github.com/decalage2/oletools/archive/master.zip
>
> Wie auf der Homepage dokumentiert installiert und dann wird AutoExec
> erkannt.
> Muss ich eigentlich olefy durchstarten oder werden die oletools zur
> Laufzeit gezogen?
>
>
> Danke!

Du muss olefy nicht neu starten. Leider haben wir es noch nicht
geschafft oletools direkt zu nutzen, sondern rufen noch olevba direkt auf.

VG c

Reply | Threaded
Open this post in threaded view
|

Re: [ext] Re: Wie teste ich, ob rspamd mit den OLEtools funktioniert

Carsten Rosenberg
In reply to this post by Ralf Hildebrandt
On 28.11.19 11:12, Ralf Hildebrandt wrote:
> * Carsten Rosenberg <[hidden email]>:
>> Hallo Frank,
>>
>> danke für die Datei. Da ist tatsächlich eine neue Variante des AutoExec
>> drin. die aktuelle Git Version von oletools hat das schon integriert:
>
> Würdest Du die empfehlen? Wahrscheinlich schon :)


Produktiv habe ich die 0.55dev noch nicht. Auf den Testsystemen sah es
aber gut aus. Ich roll das morgen mal auf einem Teil der olefy Systemen aus.

>
>> Die git Version kannst du so benutzen:
>>
>> git clone --recurse-submodules https://github.com/decalage2/oletools.git /opt/oletools
>>
>> und in /etc/olefy.conf:
>>
>> OLEFY_OLEVBA_PATH=/opt/oletools/oletools/olevba.py
>
Reply | Threaded
Open this post in threaded view
|

Re: [ext] Re: Wie teste ich, ob rspamd mit den OLEtools funktioniert

Ralf Hildebrandt
> Produktiv habe ich die 0.55dev noch nicht. Auf den Testsystemen sah es
> aber gut aus. Ich roll das morgen mal auf einem Teil der olefy Systemen aus.

Läuft 1A bisher.

Bonusfrage: Wie macht man Whitelisting? Also gewissen Absendern das
Versenden vom "problematischen" Attachments erlauben.

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

Re: [ext] Re: Wie teste ich, ob rspamd mit den OLEtools funktioniert

Ralf Hildebrandt
* Ralf Hildebrandt <[hidden email]>:
> > Produktiv habe ich die 0.55dev noch nicht. Auf den Testsystemen sah es
> > aber gut aus. Ich roll das morgen mal auf einem Teil der olefy Systemen aus.
>
> Läuft 1A bisher.
>
> Bonusfrage: Wie macht man Whitelisting? Also gewissen Absendern das
> Versenden vom "problematischen" Attachments erlauben.

Anybody?
Wir haben hier Spezialisten, die Ihre Buchkapitel offnbar mächtig
anreichern:

OLETOOLS(0.00){AutoExec + Suspicious (Document_New,Document_Open,ok_Click,Command,CreateObject,Lib,Chr,ChrW,.Variables,VBA Stomping);

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

Re: [ext] Re: Wie teste ich, ob rspamd mit den OLEtools funktioniert

Carsten Rosenberg
On 03.12.19 15:40, Ralf Hildebrandt wrote:
> * Ralf Hildebrandt <[hidden email]>:
>>> Produktiv habe ich die 0.55dev noch nicht. Auf den Testsystemen sah es
>>> aber gut aus. Ich roll das morgen mal auf einem Teil der olefy Systemen aus.
>>
>> Läuft 1A bisher.

Bei uns auch.

>>
>> Bonusfrage: Wie macht man Whitelisting? Also gewissen Absendern das
>> Versenden vom "problematischen" Attachments erlauben.
>
> Anybody?
> Wir haben hier Spezialisten, die Ihre Buchkapitel offnbar mächtig
> anreichern:
>
> OLETOOLS(0.00){AutoExec + Suspicious (Document_New,Document_Open,ok_Click,Command,CreateObject,Lib,Chr,ChrW,.Variables,VBA Stomping);

Nicht schlecht soviel in ein Makro zu bekommen.

Ich könnte mir diese Ansätze vorstellen:

Du könntest via Settings für bestimmte Absender, Empfänger oder IPs
oletools bei symbols_disabled aufnehmen. Dann wird der Check für diese
nicht mehr ausgeführt.

Wenn du bei oletools action nicht auf reject hast, könntest du via
composites und in Verbindung mit anderen Symbolen den Score von oletools
neutralisieren. Die anderen Symbole könnten dann etwas Typisches für
diese Mails sein oder ein Symbol von einer Multimap sein.

Die Aufwendigste Variante wäre oletools im extended Mode zu betreiben
und direkt auf die erkannten Funktionen via Patterns und den daraus
entstehenden Symbolen zu matchen. Das wäre dann wieder via composites

Viele Grüße

Carsten





Reply | Threaded
Open this post in threaded view
|

Re: [ext] Re: Wie teste ich, ob rspamd mit den OLEtools funktioniert

Ralf Hildebrandt
* Carsten Rosenberg <[hidden email]>:
> On 03.12.19 15:40, Ralf Hildebrandt wrote:

...

> Ich könnte mir diese Ansätze vorstellen:
>
> Du könntest via Settings für bestimmte Absender, Empfänger oder IPs
> oletools bei symbols_disabled aufnehmen. Dann wird der Check für diese
> nicht mehr ausgeführt.

Ich bin wohl zu blöd:

In /etc/rspamd/local.d/settings.conf habe ich:

   whitelist_from_abw-verlag {
      # macrodurchsetzte Dateien
      from = "@abw-verlag.de";
      apply {
         symbols_disabled = ["OLETOOLS"];
      }
   }
   
   whitelist_to_abw-verlag {
      # macrodurchsetzte Dateien
      rcpt = "@abw-verlag.de";
      apply {
         symbols_disabled = ["OLETOOLS"];
      }
   }

Aber:

Dec  9 07:42:26 mail-cbf rspamd[28200]: <77594d>; task; rspamd_task_write_log: id: <[hidden email]>,
qid: <47WYXB1rp3z1Z3Jn>, ip: 10.32.37.106, from: <[hidden email]>, (default: T (reject): [-1.50/14.00] [BAYES_HAM(-3.00){100.00%;},MIME_BAD_ATTACHMENT(1.60){docm;},MIME_GOOD(-0.10){multipart/mixed;multipart/alternative;text/plain;},ARC_NA(0.00){},DKIM_SIGNED(0.00){},FROM_EQ_ENVFROM(0.00){},FROM_HAS_DN(0.00){},HAS_ATTACHMENT(0.00){},HAS_XOIP(0.00){},MIME_TRACE(0.00){0:+;1:+;2:+;3:~;4:~;5:~;6:~;},OLETOOLS(0.00){AutoExec
+ Suspicious (Document_New,Document_Open,ok_Click,Command,CreateObject,Lib,Chr,ChrW,.Variables,VBA Stomping);},RCPT_COUNT_THREE(0.00){3;},RCVD_COUNT_TWO(0.00){2;},RCVD_TLS_LAST(0.00){},TO_DN_ALL(0.00){},TO_MATCH_ENVRCPT_ALL(0.00){}]),
len: 1461339, time: 8028.338ms, dns req: 12, digest: <2ee88b0dafc3ab75f684d6dd8f006df3>, rcpts: <[hidden email],[hidden email],[hidden email]>,
mime_rcpts: <[hidden email],[hidden email],[hidden email]...>, forced: reject "oletools: Oletools threat message found: "AutoExec + Suspicious (Document_New,Document_Open,ok_Click,Command,CreateObje

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

Re: [ext] Wie teste ich, ob rspamd mit den OLEtools funktioniert

Gerald Galster-2
>   whitelist_to_abw-verlag {
>      # macrodurchsetzte Dateien
>      rcpt = "@abw-verlag.de";
>      apply {
>         symbols_disabled = ["OLETOOLS"];
>      }
>   }


ich hab in meiner settings.conf

rcpt = "/@domain.de/";

Evtl. fehlen hier die Slashes?

Viele Grüße
Gerald
12