Cryptolocker e Office 365: regole di blocco su Exchange

| |

Vi ho parlato poco tempo fa di Cryptolocker e dell’ultima sua variante italiana e vi posso assicurare che nonostante la portata dell’attacco sia calata drasticamente (cosa che non può dirsi dei danni causati ai meno esperti o meno preparati) girano comunque mail che “ci provano ancora“. Se anche voi utilizzate Office 365 e avete accesso al vostro Exchange in cloud come amministratori, potete pensare di mettere in piedi una protezione ulteriore fatta di due regole che riusciranno insieme a filtrare molte delle mail contenenti il classico cab (che a sua volta contiene il file SCR o il documento di Word), ma anche file exe, dos, com e tutta quella serie di estensioni conosciute che è sempre meglio rifiutare alla sorgente.

Logo-Exchange

Microsoft utilizza il proprio motore antivirus costantemente aggiornato. Lo stesso potrebbe riconoscere già una lista di estensioni ben definita che è possibile in un solo colpo bloccare completamente: .rar (fileinfo.com/extension/rar), .dll (fileinfo.com/extension/dll), .exe (fileinfo.com/extension/exe), .jar (fileinfo.com/extension/jar), .obj (fileinfo.com/extension/obj), .vxd (fileinfo.com/extension/vxd), .os2 (fileformat.info/format/os2bmp/egff.htm), .w16, .dos, .com (fileinfo.com/extension/com) e .pif (fileinfo.com/extension/pif).

Questa regola si imposta facilmente tramite Powershell (così da non dover compilare tutto a mano dalla GUI dell’Exchange / rules):

New-TransportRule -Name 'Malware - Blocco Standard Microsoft' -Priority '0' -Enabled $true -AttachmentHasExecutableContent $True -RejectMessageReasonText 'Malware: uno o diversi allegati alla mail non possono essere recapitati a destinazione. Per supporto: helpdesk@azienda.it' -StopRuleProcessing $true -SetAuditSeverity Low -SenderAddressLocation HeaderOrEnvelope

La regola così com’è si posizionerà a priorità 0 e bloccherà l’esecuzione di regole successive scartando immediatamente la mail (la rifiuterà rimandandola al mittente con il messaggio personalizzato impostato a vostra scelta). Dato che il “-AttachmentHasExecutableContent” si basa sulla lista di estensioni che ho elencato prima, la mail passerà inosservata a meno che non contenga un virus dalle firme già pubbliche e riconosciuto durante lo scan di Microsoft. Una seconda regola potrà aggiungere ulteriori estensioni all’appello.

Blocco aggiuntivo (cab, scr, ma non solo)

Priorità 1, pronta a bloccare l’esecuzione di altre regole, anche stavolta un messaggio personalizzato da allegare al reject della mail. Si può costruire da GUI ma ho continuato ad utilizzare Powershell:

New-TransportRule -Name 'Malware - Blocco Custom Aggiuntivo' -Priority '1' -Enabled $true -AttachmentExtensionMatchesWords 'cab','scr' -RejectMessageReasonText 'Malware: uno o diversi allegati alla mail non possono essere recapitati a destinazione. Per supporto: helpdesk@azienda.it' -StopRuleProcessing $true -SetAuditSeverity Low -SenderAddressLocation HeaderOrEnvelope

Entrambe le regole verificano la presenza di allegati con estensioni personalizzate o standard anche all’interno di un archivio (già testato e verificato). Potete continuare ad aggiungere estensioni oltre il cab e il scr, ovvio vero? Ah, altra cosa: ho variato la regola riportata qui sopra per evitare il rifiuto e inoltrare ogni mail in ingresso (che matchasse la regola, chiaramente) per essere forwardata a me, così ho potuto verificare la quantità di corrispondenza infetta mandata verso i domini del gruppo: da una quarantina di mail nel periodo più caldo alle zero arrivate all’inizio della settimana scorsa ormai. Le regole restano comunque lì per sicurezza, male non fanno di certo. Ho fatto la stessa modifica alla prima regola, giusto per capire la quantità di RAR in ingresso, unica estensione che mi lascia “dubbioso” riguardo la lista di Microsoft.

Tutto allo stato attuale funziona correttamente. Non ho certo inventato io questa ruota ma ho trovato una buonissima fonte dalla quale “trarre ispirazione“: nickwhittome.com/2014/10/16/blocking-executable-attachments-even-in-zip-files-on-office-365, tutto molto ben descritto e fatto, non si fa menzione dell’utilizzo della GUI di Exchange ma -come detto- potrete utilizzarla per creare le regole e modificarle agilmente in seguito.

L'articolo potrebbe non essere aggiornato

Questo post è stato scritto più di 5 mesi fa, potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a lasciare un commento per chiedere ulteriori informazioni! :-)

Cryptolocker e Office 365: regole di blocco su Exchange 1 GWall

Se hai correzioni o suggerimenti puoi lasciare un commento nell'apposita area qui di seguito o contattarmi privatamente.
Ti è piaciuto l'articolo? Offrimi un caffè! Puoi usare Satispay, PayPal, Buy Me A Coffee o Patreon :-)

Condividi l'articolo con i tuoi contatti:
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Commenti
Inline Feedbacks
View all comments