Mailcleaner gegen Office-Makros absichern

Haupteinfallstor ist und bleibt auch 2018 Mail. Ein Großteil aller Infektionen weltweit entsteht durch angeklickte Anhänge. Im Moment treibt wieder ein Rechnungstrojaner sein Unwesen. Wer sein Unternehmensnetzwerk absichern will, braucht eine Gateway-Lösung, die solche Inhalte schon im Vorfeld herausfiltert – wie Mailcleaner. Mailcleaner ist ein kostenlos verfügbares Mailgateway, das es auch ein supporteten Version (gegen Entgelt, versteht sich) gibt. Mit diesem System entsorgt man den Großteil an Spam und Viren, der täglich auf Mailserver einprasselt.

Mailcleaner nutzt als Virenscanner ClamAV. Dieser kann leider Office-Dokumente mit Makros nicht direkt erkennen, so dass man manuell etwas nachhelfen muss.

Seit ClamAV 0.99.1 werden Yara-Signaturen unterstützt. Diese Signaturen haben die Dateiendung .yar und liegen im Database-Ordner von ClamAV. Bei meiner Standardinstallation von Mailcleaner ist dies der Ordner /var/mailcleaner/spool/clamav.  In diesem Ordner muss eine neue .yar-Datei erstellt werden, z. B. office-macros.yar.

Der Inhalt dieser Datei sieht nun wie folgt aus (Originalquelle hier):

rule ms_office_macro
{
meta:
description = "Microsoft Office document containing a macro"
thread_level = 1
in_the_wild = true
strings:
$a = {d0 cf 11 e0}
$b = {00 41 74 74 72 69 62 75 74 00}
condition:
$a at 0 and $b
}

Eine ziemlich gelungene Yara-Dokumentation findet man übrigens hier.