Skapa SpamAssassin-signaturer för blockering av ransomeware-kampanjen Torrentlocker/Crypt0l0cker

Posted in : Other Av Stina Perbo Översätt med Google ⟶

7 years ago

Just nu pågår en ransomware-kampanj som försöker infektera privatpersoner och företag genom bluff-mail (spam). Myndigheten för samhällsskydd och beredskap har gått ut med signaturer som kan användas för att identifiera och blockera kampanjen på följande länk: Signaturer för pågående ransomware-kampanj.
Signaturerna innehåller tre länkar till ZIP-filer som ligger hos Dropbox, men även ämnesraden för bluff-mailen:

Dropbox URL:er
hxxps://dl.dropboxusercontent.com/s/5h76l6uqdp7vtvk/753941.zip?dl=0
hxxps://dl.dropboxusercontent.com/s/h8jyb5xkh6dqoyf/197067.zip?dl=0
hxxps://dl.dropboxusercontent.com/s/jv3vtf14gxgz6sa/394216.zip?dl=0
Två exempel på phishing-mailen:
”Från: Skickat: den 16 mars 2017 11:06
Till: förnamn.efternamn@domän.se
Ämne: Faktura / Betala din faktura / Se din faktura / Detta är din faktura
Hallå
Info: hxxps://dl.dropboxusercontent[.]com/s/snzrpnvtd1fchxi/862751.zip?dl=0
(+ flertalet andra Dropbox länkar)

---

Från: ” Datum: 16 mars 2017 11:08:23 GMT
Till: Ämne: Faktura
Betala din faktura: hxxps://dl.dropboxusercontent.com/s/jv3vtf14gxgz6sa/394216.zip?dl=0
Vänliga Hälsningar
Namn

Med hjälp av denna informationen kan man skapa en regel i SpamAssassin:

# Kontroll ifall ämnet matchar signaturen
header __RANSOMEWARE_01_01 Subject =~ /faktura|betala din faktura|se din faktura|detta är din faktura/i
# Kontroll ifall länkar matchar signaturen
uri __RANSOMEWARE_01_02 /https:\/\/dl\.dropboxusercontent\.com\/s\/5h76l6uqdp7vtvk\/753941\.zip\?dl=0|https:\/\/dl\.dropboxusercontent\.com\/s\/h8jyb5xkh6dqoyf\/197067\.zip\?dl=0|https:\/\/dl\.dropboxusercontent\.com\/s\/jv3vtf14gxgz6sa\/394216\.zip\?dl=0/i
# Skapar en regel som kräver att båda kontrollerna ovan uppfylls
meta RANSOMEWARE (__RANSOMEWARE_01_01 && __RANSOMEWARE_01_02)
# Sätter 10 poäng på regeln som kan användas för att filtrera eller blockera mailet
score RANSOMEWARE 10

Man kan göra regeln enklare att läsa genom att skapa en kontroll per ämnesrad och länk:

# Kontroll av ämnesrader
header __RANSOMEWARE_01_01 Subject =~ /faktura/i
header __RANSOMEWARE_01_02 Subject =~ /betala din faktura/i
header __RANSOMEWARE_01_03 Subject =~ /se din /faktura/i
header __RANSOMEWARE_01_04 Subject =~ /detta är din faktura/i
# Kontroll av länkar
uri __RANSOMEWARE_02_01 /https:\/\/dl\.dropboxusercontent\.com\/s\/5h76l6uqdp7vtvk\/753941\.zip\?dl=0/i
uri __RANSOMEWARE_02_02 /https:\/\/dl\.dropboxusercontent\.com\/s\/h8jyb5xkh6dqoyf\/197067\.zip\?dl=0/i
uri __RANSOMEWARE_02_03 /https:\/\/dl\.dropboxusercontent\.com\/s\/jv3vtf14gxgz6sa\/394216\.zip\?dl=0/i
# Skapar regel som kräver att en ämnesrad och en länk matchar
meta RANSOMEWARE ((__RANSOMEWARE_01_01 || __RANSOMEWARE_01_02 || __RANSOMEWARE_01_03 || __RANSOMEWARE_01_04) && (__RANSOMEWARE_02_01 || __RANSOMEWARE_02_02 || __RANSOMEWARE_02_03))
# Sätter 10 poäng på regeln som kan användas för att filtrera eller blockera mailet
score RANSOMEWARE 10

Den officiella dokumentationen för hur man skriver SpamAssassin-regler återfinns här: https://wiki.apache.org/spamassassin/WritingRules

Tags : Antispam, SpamAssasin