[Alert] Wysyp lepiej przygotowanego ataku „przesyłka DHL” – 5 reguł do SA

[Aktualizacja 8 czerwca -poniedziałek 9:10] Dodanie reguły ZABOJCASPAMU_FAKE_DHL2 działającą na niemiecki spam.
[Aktualizacja 8 czerwca -poneidizalek 9:36] Dodanie reguły ZABOJCASPAMU_FAKE_DHL6
[Aktualizacja 9 czerwca] Reguła ZABOJCASPAMU_FAKE_DHL5 prawdopodobnie posiadała bład który mogł skutkować zaliczeniem dobrego maila z DHLu jako spam

Dziś od rana trwa ciągły wysyp wirusów z cyklu „przesyłka DHL”. Niestety może on być dużo bardziej skuteczny niż poprzednie ataki. O ile sama treść pozostaje niezmienna to temat jest w języku polskim (poprzednio niemiecki)”Sprawdź stan przesylki DHL” lub „Monitorowanie trasy przesylki DHL”(pewnie wkrótce inne). Co znamienne nie zawierają one polskich liter.Pokazane reguły działają również na przesyłki DHL po niemiecku.

Co równie gorsze czas ataku jest dobrze dobrany. Dużo ludzi ma wolne i często admini nie mogą zareagować w porę. Niestety, należy się spodziewać w poniedziałek dużej ilości pracy z zawirusowanymi komputerami.

Po trzecie i co chyba najgorsze maile te omijają filtry antyspamowe. Część maili przechodzi. Dobry rozwiązaniem będzie przesłanie informacji do użytkowników o nieotwieranie tego rodzaju przesyłek.

Dodana reguła 8 czerwca. Okazało się, ze sprytni ludzie zaczeli wysyłać maile gdzie są dwa adresy:jeden widoczny dla człowieka a drugi prawdziwy. i Niestety ten widoczny dla człowieka zawiera tekst dhl.com, trzeba było uszczegółowić tą regułę. Została ona dodana aby działała na ‚niemiecki DHL’

header   __ZABOJCASPAMU_FAKE_DHL2_1     Subject=~/(Sendung|Versand) \d{9,12}/
header   __ZABOJCASPAMU_FAKE_DHL2_2     From:addr=~/dhl\./
meta     ZABOJCASPAMU_FAKE_DHL2         __ZABOJCASPAMU_FAKE_DHL2_1 && ! __ZABOJCASPAMU_FAKE_DHL2_2
describe ZABOJCASPAMU_FAKE_DHL2         Falszywa wiadomosc o wysylce DHL (v2)
score    ZABOJCASPAMU_FAKE_DHL2         10

Oczywiście pomoże odpowiednia reguła w SA( w tym poście są 3 reguły) Przesyłki z DHL z wirusem zawierają text DHL w polu From (np:”DHL Express”) ale nie zawierają adresu z fraza ‚dhl.’ .Prawidłowe przesyłki DHL są wysyłane z adresu z domena dhl. lub dhl24. (kropka na koncu i reszta domeny)Oto reguła:

header  __ZABOJCASPAMU_FAKE_DHL3_1     From=~/DHL/
header  __ZABOJCASPAMU_FAKE_DHL3_2     From:addr=~/(dhl\.|dhl24\.)/i
meta    ZABOJCASPAMU_FAKE_DHL3         __ZABOJCASPAMU_FAKE_DHL3_1 && !__ZABOJCASPAMU_FAKE_DHL3_2
describe ZABOJCASPAMU_FAKE_DHL3        Falszywa wiadomosc o wysylce DHL (v3)
score    ZABOJCASPAMU_FAKE_DHL3        10

Ponieważ nie posiadam dużej ilości próbek prawidłowych przesyłek z DHL prosiłbym o informację czy nie wycina ta reguła prawidłowych przesyłek.

Zauważone tematy maila- jak widać w każdym jest słowo przesylka (z literą l zamiast ł). dziwne bo inne polskie litery sa OK.

– Obecny stan przesylki DHL
– Monitorowanie trasy przesylki DHL
– Status przesylki DHL
– Monitorowanie dostawy przesylki DHL
– Śledzenie za przesylka DHL
– Monitorowanie trasy przesylki DHL
-Sprawdź stan przesylki DHL

Ta własność pozwała stworzyć następną regułę. W prawdziwych mailach od DHL byłoby słowo ‚przesyłka’. Reguła słabo testowana więc ma prefix EXPERIMENTAL.

header   EXPERIMENTAL_FAKE_DHL4     Subject=~/przesylk. DHL/
describe EXPERIMENTAL_FAKE_DHL4     Falszywa wiadomosc o wysylce DHL (v4)
score    EXPERIMENTAL_FAKE_DHL4     10

Jak inaczej podejść do maili z DHL? Otóż dhl.com ma zaimplementowane DKIM. każdy mail jest podpisany, że od nich. Można sie pokusić o regułę sprawdzającą czy ten podpis jest i czy odpowiedni. Oczywiście jesli coś udaje maile z DHLu nie będzie miał ich podpisu(ale może mieć inny np z gmaila jak stąd pójdzie). UWAGA: aby ta reguła działała serwer musi mieć włączone w SA sprawdzanie DKIM.

header   __EXPERIMENTAL_FAKE_DHL5_1 From=~/DHL/
header   __EXPERIMENTAL_FAKE_DHL5_2 exists:DKIM-Signature
header   __EXPERIMENTAL_FAKE_DHL5_3 ALL=~/d=dhl\.com\; /
header   __EXPERIMENTAL_FAKE_DHL5_4 Authentication-Results=~/ dkim=pass/
meta     EXPERIMENTAL_FAKE_DHL5     __EXPERIMENTAL_FAKE_DHL5_1 && (!__EXPERIMENTAL_FAKE_DHL5_2 || ! __EXPERIMENTAL_FAKE_DHL5_3 || ! __EXPERI
MENTAL_FAKE_DHL5_4)
describe EXPERIMENTAL_FAKE_DHL5    falszywa wiadomosc o Wysylce DHL (v5 sprawdzanie DKIM)
score    EXPERIMENTAL_FAKE_DHL5    0.1

Reguła ma niską punktację bo nie jest do końca pewna

I reguła stworzona ponieważ zaczely się pojawiać maile które miały w wyświetlanym adresie ciąg DHL.com a w adresie nadawcy prawdziwym już nie. Mogły się łapać na inne reguły ale lepiej jednak dodać parę razy za to samo niż aby takie coś miało przejść

header  __ZABOJCASPAMU_FAKE_DHL6_1 From=~/(dhl|DHL)\./
header  __ZABOJCASPAMU_FAKE_DHL6_2 From:addr=~/dhl\./i
meta     ZABOJCASPAMU_FAKE_DHL6     __ZABOJCASPAMU_FAKE_DHL6_1 && ! __ZABOJCASPAMU_FAKE_DHL6_2
describe ZABOJCASPAMU_FAKE_DHL6    falszywa wiadomosc o Wysylce DHL (v6 dhl. sie wyswietla a nie ma w adresie)
score    ZABOJCASPAMU_FAKE_DHL6    10

Poprzednia reguła też nadal jest czasami aktualna (ale tylko część przesyłek pozwala ubić). Reguły powyższe przynajmniej na chwilę obecną są bardziej uniwersalne i ubijają wszystko.

Prawdę mówiąc nie wiem czy nie lepiej w tym przypadku złapać do spamu kilku maili niż aby przeszedł jeden z wirusem.

Post był tworzony na bieżąco wraz z postępującą analizą maili. Mam nadzieje, że to zamknie problem ‚przesyłek DHL’.

Jeden z plików z przypadkowego maila zostal wysłany do i wyniki można zobaczyć na tej strobie VirusTotal. Niestety mało programów antywirusowych rozpoznaje to jako zagrożenie.

Ropzonowanei przez AntyWirusy stan na 2015-06-05 17:59
Rozpoznanie przez Antywirusy stan na 2015-06-05 17:59

 

 

 

 

 

 

 

 

 

30 thoughts on “[Alert] Wysyp lepiej przygotowanego ataku „przesyłka DHL” – 5 reguł do SA

    1. Ależ proszę:) Sam musialem walczyć z tym badziewiem więc innym też się może przydać

  1. Plik reguł na stronie datowany jest na 26 maja. Czy mogę prosić o aktualizację? thx

  2. Reguły do tego pliku są dodawane ciut poźniej aby byly pewne. Najpierw reguły sa sprawdzane na serwerach, potem leżą tutaj i na końcu trafiają do tego pliku. Chodzi o to aby wtopy nie było:) ale jutro wrzucę je do pliku.

  3. Wczoraj trafiła mi się fałszywa wiadomość od DHL która posiadała DKIM, nie została w żaden sposób oznaczona:

    Return-Path:
    X-Original-To: *
    Delivered-To: *
    Received: from mo4-p03-ob.smtp.rzone.de (mo4-p03-ob.smtp.rzone.de [81.169.146.222])
    (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
    (No client certificate requested)
    by * (Postfix) with ESMTPS id A9C17208C8
    for ; Mon, 8 Jun 2015 18:17:19 +0200 (CEST)
    DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; t=1433780239; l=528850;
    s=domk; d=ptm-fashion.de;
    h=Content-Type:Mime-Version:To:From:Subject:Date;
    bh=HgHa4S53D8G4rPMkmtg5dtmxbo8aQMH2OcAgMToeKV8=;
    b=rcfaSCsJ7dsqfRxiFa1a3poDAOslNL8W/E5OJyB0tmxXt7DUkRtVc58F/PNxmhtSDJx
    c56FdcIfNImp88YBLzvj+JtgTiFbfpUYsHxCQdvrb+f4du0buWUa0mM7oNzF0+6pNZZw6
    nBIskm952DJzkvRfj+/N94Ooi/R+K9PmgqE=
    X-RZG-CLASS-ID: mo03
    X-RZG-AUTH: :JWICemC4b/KjC1oyO385/tPteqDU/GzvYq8mOaNJSLVF0Pi6Fa22LdoHfz4=
    Date: Mon, 8 Jun 2015 18:17:17 +0200 (CEST)
    Message-ID:
    Received: from localhost (chello084114013053.14.vie.surfer.at [84.114.13.53])
    by smtp.strato.de (RZmta 37.6 DYNA|AUTH)
    with ESMTPA id Y03181r58GHHNE6
    for ;
    Mon, 8 Jun 2015 18:17:17 +0200 (CEST)
    Subject: Śledzenie za przesylka DHL, 3088637379
    From: „DHL Support”
    To: *
    Mime-Version: 1.0
    Content-Type: multipart/mixed; boundary=”sgt+Q1j0kf7vsdEQ”
    X-Virus-Scanned: clamav-milter 0.97.8 at *
    X-Virus-Status: Clean

    –sgt+Q1j0kf7vsdEQ
    Content-Type: text/html; charset=utf-8
    Content-Disposition: inline
    Content-Transfer-Encoding: base64

    PEhUTUw+PGhlYWQ+DQo8TUVUQSBjb250ZW50PSJ0ZXh0L2h0bWw7IGNoYXJzZXQ9dXRmLTgi
    IGh0dHAtZXF1aXY9Q29udGVudC1UeXBlPg0KPHN0eWxlIFRZUEU9InRleHQvY3NzIj48IS0t
    DQpwIHsNCglmb250LXNpemU6IDE2cHg7DQoJZm9udC1mYW1pbHk6IEFyaWFsOw0KCUZPTlQt
    V0VJR0hUOiBib2xkOw0KfQ0KaDEgew0KICAgIGNvbG9yOiAjYzAwOw0KICAgIGZvbnQtc2l6
    ZTogMjBweDsNCiAgICBmb250LXdlaWdodDogbm9ybWFsOw0KICAgIGZvbnQtZmFtaWx5OiBB…………

    1. A na pewno masz moje reguły i zrestartowałes amavis lub spamassassina. Powinno wychwycic kilka reguł: jest DKIM ale nie od dhl (d=ptm-fashion.de). temat jest ‚przesylka DHL’ czyli tez powinno wpasc i we From zapewne nie ma dhl. Inne maile wylapuje ci?

      1. Powyższe reguły się sprawdzają, wyłapują fałszywe emaile od DHL nie oznaczając prawdziwych, amavis i spamassassin były restartowane.
        Widocznie z jakiegoś powodu ta wiadomość nie została „wzięta do kontroli”, miałem jakiś czas temu kilka takich przypadków.

          1. Na whiteliście postfixa oraz spamassassina jej nie ma.
            Chyba najszybciej dojdę do tego dlaczego ta wiadomość nie została sprawdzona porównując ją z innymi niesprawdzonymi wiadomościami gdy się takie trafią.

          2. Problem polega na tym, że nie sprawdza mi wiadomości większej niż 512kb.

            Jun 12 10:03:46 pozyton1 spamc[24795]: skipped message, greater than max message size (512000 bytes)
            Jun 12 10:03:46 pozyton1 spamass-milter[1492]: Could not extract score from

            Jakie wartości macie u siebie ustawione ?

          3. Niektóre przesyłki mają faktycznie więcej niz 512 kb ale jest ich część. Powieksz limit do 600 kb bo takich nie widziałem. Niestety bedzie więcej obciążać system zapewne. A widziałem reklamówki z firm drukarskich na kilkanaście MB:)

          4. Tylko w jaki sposób, dodanie do konfiga SA

            -s 600000
            SA_MAX_MAIL_SIZE 600000

            nic nie zmienia

          5. A sprawdziles ile maja kb te maile? inne sa wychwytywane? Inne w sensie te z DHLu i reszta? uzywasz amavisa aby przekazywal do spamassassina bo on ma wlasny limit? Moze spamassassina w trybie debug?

          6. Tak, zauważyłem tą jedną od DHL która miała powyżej 512 kb. Wszystkie wiadomości poniżej 512 kb są wychwytywane natomiast te powyżej nie są również blokowane przez blacklistę SA.
            Clamav ma swój własny limit – 25 MB.

          7. no to chyba nie zostaje nic innego jak debug mode i czytanie logow. Moze jesli masz Debiana/Ubuntu wywoluje sie z innymi parametrami defaultowo? Te dystrybucje maja nieraz swoje pliki konfiguracyjne

          8. Używasz spamass-miltera, sprawdzałeś taką opcję:

            Aby dodać opcję do spamc, dodaj:
            do spamass-milter command line po –:

            spamass-milter -i 127.0.0.1 — -s 65536

  4. A może o to chodzi, reguła nie zadziała, jeśli w SpamAssasinie będziesz miał:
    dbg: diag: […] module not installed: Mail::DKIM
    czyli brak odpowiedniego modułu perla dla plugina DKIM SA.

    instalacja:
    perl -MCPAN -e „install Mail::DKIM”

    restart SA/amavisa

    i sprawdzić czy załadowany jest: loadplugin Mail::SpamAssassin::Plugin::DKIM

    1. fakt, Sluszna uwaga. W regule z DKIM wymagane jest aby mieć weryfikacje DKIM. Inne reguły nie wymagaja tego.

      1. Ano, ze względu na warunki w tej regule brak DKIM zakłóca jej działanie 😉 miałem na 1 maszynie brak dkim i dobry mail zaznaczony został jako SPAM 😉 mimo, że wszystko było poprawnie.

        tak czy siak dla autora wielkie GZ za wkład dla społeczności.

        1. Hmmm, wydaje mi się, że 5’te reguły znaczą prawidłowy mail od DHL jako spam. Coś jest nie tak w składni. 5_1,2,3,4 są prawdziwe/zgadzają się a mail dostaje 10 pkt.

          1. Prawdopodobnie masz racje faktycznie. Jak dołączałem regułe miała ona niską punktację właśnie aby ją potestować. Lepiej dać jej punktacje niska. Tam brakowało przy trzecim OR negacji. Muszę ja potestować bo akurat od paru dni nie dostaje dobrych maile z DHLu. Dalem jej punktacje 0.01 i tak było na początku. W ogóle nie wiem czy jest sens sprawdzać Warunek 4 o istnieniu dkim=pass.
            I dzięki za info:)

          2. Jeśli jest to czemu nie, można sprawdzać 😉 po prostu tak tylko zwróciłem uwagę, bo mały babol powodował, że all było krojone 😉 zobaczymy jak teraz będzie, dam znać bo mam więcej maili klientów którzy korzystają z usług DHL’a 😉

          3. Zmniejsz punktacje aby bydla nie robiło:) i daj znac. Wg mnie powinno smigac

          4. Punktację zmieniłem już dawno i wydaje mi się, że all jest ok, przyszło 7 maili z trackingu DHL’a – Preawizacja DHL . Wydają się ok, zwykle powiadomienie o wysłanej przesyłce. Babol był w meta i składni 😉 GJ. 😉

          5. No to fajnie, że działa. Pisałem te reguły on line i krotko testowałem. Własnie te maile z „Preawizacja” czesto przychodziły na serwery a teraz akurat widac nie przeszly. Fajnie, ze działa

    1. To sa reguły dla serwerów poczty doklłdnie dla programu SpamAssassin. Koncowy użytkownik nie może ich nigdzie wpisać

  5. Potwierdzam poprawne działanie, maile z Preawizacja DHL oraz inne prawidłowe nie są punktowane.

Comments are closed.