Перейти к содержанию
alexIrish

Symantec не ловит emails с вложеными в архив троянами

Recommended Posts

alexIrish

Одит из наших сотрудников начал получать emails с вложеными в архив троянами. В оффисе стоит Symantec EPP v.11, управляется централизовано с сервера, все обновления сделаны. Outlook protection & Email Protection включены. Вся почта идущая к нам из вне проходит через провайдера, где сканируется на спам и вирусы. Но ети майлы у них не регестрируются, т.е. по всей видимости генерируются гдето внутри нашей сети. Отправитель меняется каждый день:amazon.com; twitter.com and so on. Емаил приходит раз в день, ~ в 8 утра. На клиентском компе в соответсвии с серверными настройками Outlook protection включен по дефалту. Скан делал во всей сети. Ничего не нашел. помогите отловить. Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

alexIrish Вы используете MS Exchange? Если Да, то Вы же понимаете, что письмо не может просто попадать в Outlook минуя Exchange. Смотрели x-headrы в письме, откуда оно приходит? Вложенный файл не детектится SEP? Отправляли его в Symantec Security Response?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexIrish

Да, используем MS Exchange 2003. Вложеный file (zip архив) не детектится SEP когда приходит в Outlook, но если сохранить на диск и проверить, не распаковывая, то сразу же определяет два трояна внутри архива. B политике для Outlook protection определено проверять архивы до 3 уровня вложенности. A x-header vot:

Microsoft Mail Internet Headers Version 2.0

Received: from twitter.com ([109.78.49.151]) by companydomain.com with Microsoft SMTPSVC(6.0.3790.3959);

Thu, 11 Mar 2010 08:22:23 +0000

From: [email protected]

To: [email protected]

Subject: Your friend invited you to twitter!

Date: Thu, 11 Mar 2010 08:22:29 +0000

MIME-Version: 1.0

Content-Type: multipart/mixed;

boundary="----=_NextPart_000_0006_73DD3907.5056AE5D"

X-Priority: 3

X-MSMail-Priority: Normal

Return-Path: [email protected]

Message-ID: <[email protected]>

X-OriginalArrivalTime: 11 Mar 2010 08:22:23.0513 (UTC) FILETIME=[F9DDD090:01CAC0F3]

------=_NextPart_000_0006_73DD3907.5056AE5D

Content-Type: text/html;

charset="Windows-1252"

Content-Transfer-Encoding: 8bit

------=_NextPart_000_0006_73DD3907.5056AE5D

Content-Type: application/octet-stream;

name="Invitation Card.zip"

Content-Transfer-Encoding: base64

Content-Disposition: attachment;

filename="Invitation Card.zip"

------=_NextPart_000_0006_73DD3907.5056AE5D--

Как мне найти откуда он пришел? Thanks.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexIrish

По всем данным получается что мы имеем бот который может посылать почту прямо ан IP адрес нашего mail сервера, так что они проходят мимо email провaидера. Я установил Symantec MF for Exchange na почтовом сервере, он справляется со своей задачей. Вирус обнаруживается, email в карантине. Но по хорошему надо настрооить firewall так что бы весь email трафик приходил толко с IP адреса email провайдера. У нас стоит Symantec Gateway 360 роутер. Ну и Symantec Enterprise Protection 11. Посоветуйте как закрыть SMTP порт 25 так чтобы трафик пропускался толко с определенного IP адреса. Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy
По всем данным получается что мы имеем бот который может посылать почту прямо ан IP адрес нашего mail сервера, так что они проходят мимо email провaидера. Я установил Symantec MF for Exchange na почтовом сервере, он справляется со своей задачей. Вирус обнаруживается, email в карантине. Но по хорошему надо настрооить firewall так что бы весь email трафик приходил толко с IP адреса email провайдера. У нас стоит Symantec Gateway 360 роутер. Ну и Symantec Enterprise Protection 11. Посоветуйте как закрыть SMTP порт 25 так чтобы трафик пропускался толко с определенного IP адреса. Спасибо.

Честно говоря, не слышал про продукт Symanteс Gateway 360...как я понимаю, вам нужно установить клиента SEP на тот же Exchange и в политиках Firewall прописать конкрентный IP-адрес провайдера, с которого будет идти почта на 25-ый порт Exchange'а. Со всех других IP-адресов, включая все сегменты корпоративной сети, - следует отрубить трафик по SMTP.

А вообще есть отдельный продукт Symantec Brightmail Gateway - как шлюзовое решение он содержит весь необходимый Вам функционал, а также много другого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

Хотя если не ошибаюсь, в том же SMS for Exchange есть списки отправителей, можно создавать whitelist и blacklist'ы, но по доменному имени...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
    • Hoppi
      Мне нравится квартиры посуточно снимать, это дешевле выходит чем отели. 
    • SemenovaI
      Хм, отличная идея. Я тоже люблю путешествовать самостоятельно. На Букинге можно заказать отели и билеты на транспорт, а что бы экономнее было так можно воспользоваться при заказе кэшбэком. А еще советую дождаться Черной пятницы https://letyshops.com/chernaya-pyatnitsa и сделать покупки на Букинге и других интернет магазинах с солидной экономией. 
    • PR55.RP55
      Demkd Мне кажется ЭТО тоже стоит посмотреть. C:\USERS\ADMIN\APPDATA\LOCAL\PACKAGE CACHE\{C187DB08-7705-4616-834B-87B3087AE698}V3.0.7.830\INSTALLER V.T.:  MicrosoftTrojan:Win32/Zpevdo.A    
    • demkd
×