But actually I thought that oletools can not only block attachments with selected attachments completely, but also anyaliyze the content, whether it contains malicious code or not.
So you don’t have to do without document exchange completely, which is usually not possible.
That was the core of my question a few days ago. Now Heise does not send any documents seriously contaminated with Malware, so the test does not say anything about this.
https://www.heinlein-support.de/blog/news/emotet-mit-rspamd-und-oletools-bekaempfen/
Zusammenfassung deutsch
Emotet-Plugin für Rspamd
Um oletools während der Annahme einer E-Mail die bereits angehängten Office-Dateien analysieren lassen zu können, haben wir für das Anti-Spam Framework Rspamd ein Plugin entwickelt, dass mit einem kleinen Daemon spricht, welcher die Office-Datei von oletools analysieren lässt.
Es gibt 2 Modi der Erkennung:
1. Automatische Kategorisierung
Hierbei wird der Report der oletools vom Rspamd automatisch ausgewertet. Damit ein Macro-Virus erfolgreich einen Computer infizieren kann, müssen zwei Bedingungen erfüllt sein. Das Macro muss gestartet werden (AutoExec) und es wird eine Funktion benötigt, die den Schadcode in das System bringt. Funktionen, die das ermöglichen könnten, werden in der Kategorie „Suspicious“ aufgeführt. Kommen in einem Macro beide Kategorien zusammen vor, ist die Wahrscheinlichkeit, dass es sich um einen Virus handelt, recht hoch. Daher meldet das Oletools-Plugin im Rspamd einen erkannten Macro-Virus.
Rspamd-Symbol z.B: OLETOOLS(20.00){AutoExec + Suspicious (autoopen,ShowWindow,CreateObject,Windows);}
2. Erweiterte Kategorisierung
Oletools kennt in seinem Bericht noch weitere Kategorien wie IOC, VBA-Strings, Hex-Strings, die auch auf unerwünschtes Verhalten hinweisen können. Außerdem liefert der oletools-Report die Namen der Funktionen aus der Kategorie Autoexec und Supicious mit. Im extended mode ist es dem Administrator jetzt möglich Kategorien und einzelne Funktionen mit den Boardmitteln des Rspamd zu verknüpfen und weiter zu verarbeiten, so dass eine fein granuläre Filterung möglich ist. Wichtig ist hier zu beachten, dass nach Rspamd-Logik die Kategorien und jede gemeldete Funktion ein einzelner Virus sind. Im unten genannten Beispiel sind das entsprechend 4 Viren. Das muss der Admin im Extended Mode dann auch entsprechend verarbeiten.
Summary englisch
Emotet plugin for Rspamd
To let oletools analyze the already attached office files while accepting an e-mail, we have developed a plugin for the anti-spam framework Rspamd that talks to a small daemon that lets oletools analyze the office file.
There are 2 modes of detection:
- automatic categorization
Here the report of the oletools is automatically evaluated by the Rspamd. For a macro virus to successfully infect a computer, two conditions must be met. The macro must be started (AutoExec) and a function is needed to bring the malicious code into the system. Functions that could make this possible are listed in the “Suspicious” category. If both categories occur together in a macro, the probability that it is a virus is quite high. Therefore the Oletools plugin reports a detected macro virus in the Rspamd.
Rspamd symbol e.g.: OLETOOLS(20.00){AutoExec + Suspicious (autoopen,ShowWindow,CreateObject,Windows);}
- advanced categorization
Oletools knows in its report still further categories such as IOC, VBA strings, hex strings, which can also indicate undesired behavior. In addition, the oletools report provides the names of the functions from the Autoexec and Supicious category. In extended mode the administrator is now able to link categories and single functions with the board means of the Rspamd and to process them further, so that a fine-granular filtering is possible. It is important to note here that according to Rspamd logic the categories and each reported function is a single virus. In the example below, this means 4 viruses. The admin must process this in extended mode.