Inserire una eccezione per la sandbox di LibraESVA

Nell’ultima versione di LibraESVA 4.0.0 è stata rilasciata una interessantissima funzionalità la Sandbox, che permette di analizzare la pericolosità dei link prima di poterci accedere.

Il link nel messaggio viene riscritto, in modo da indirizzarlo verso la sandbox installata negli EsvaLabs ed essere analizzato.

In alcuni casi è utile poter inserire delle eccezioni alla riscrittura. LibraESVA anche in questo caso ci permette di scegliere per quali domini non effettuare la riscrittura del link.

Dal menù “System” -> “Content Analisys” -> “Phishing Highlight” possiamo inserire dei siti da considerare SAFE

eccezioni sandbox

Nota: per i siti considerati sicuri e su cui non si vuole la riscrittura mettere il valore Phishing Safe: Yes, mettendo Phishing Safe: No i link che rispondono alla regola verranno considerati sempre come Phishing.

Dopo aver inserito le regole ricordarsi di applicare le nuove impostazioni

phishing apply settings

Argonavis ti invita a richiedere una prova di 30 giorni di LibraESVA, per provare sul tuo dominio gli straordinari risultati di filtraggio dello spam e dei malware allegati a messaggi di posta elettronica.

Richiedi Informazioni

Funzionamento della sandbox in LibraESVA

Per eludere le capacità di rilevazione del malware, molte campagne di attacco (incluse diverse di ransomware) si sono basate su mail che non contenevano direttamente il malware, ma che avevano un collegamento ad un file malevolo.

In questa situazione nel il modulo antispam, ne il modulo antimalware, potevano rilevare l’oggetto e bloccare l’azione da parte dell’utente.

Una delle novità più interessanti nell’ultima versione (4.0.0) di LibraESVA è la funzionalità Sandbox.

La funzionalità sandbox riscrive l’url di tutti i collegamenti

riscrittura

effettua una analisi del contenuto

analisi

se il collegamento è considerato sicuro l’utente viene reindirizzato verso la pagina richiesta, mentre il collegamento è considerato malevolo viene presentata una maschera di blocco all’utente.

blocco L’utente può comunque accettare il rischio e proseguire nella navigazione raggiungendo l’indirizzo pericoloso.

La funzionalità sandbox è disattiva per default, può essere attivata dal menu: System / Content Analisys / Antispam Action Settings attiva sandbox

La scansione del contenuto non viene effettuata in locale dalla virtual appliance, ma viene effettuata dagli EsvaLabs, la struttura che effettua studi continui sullo spam e sulle campagne di attacco basate su email.

Richiedi Informazioni

Rilasciato LibraESVA 4.0

E’ stata rilasciata la versione 4.0 di LibraESVA.

libraesva

La nuova versione include correzione a problemi noti, nuove funzionalità e migliorie a funzionalità esistenti.

Problemi Corretti

– Corretto problema che causava il blocco del servizio HTTPD
– Corretto un errore che duplicava le whitelist
– Corretto un problema sul rilascio di archivi annidati nella funzione “Dangerous content release override”
– Corretto un errore sul job di Backup
– Corretto un problema sul wizard del Cluster
– Corretto un problema su Rule Score Override
– Migliorato il supporto ad UTF-8 nelle Custom Spam Rules
– Corretto un problema che si verificava durante l’aggiunta di un dominio
– Corretto un problema sulla configurazione di SSL in apache
– Corretto un problema sulle blacklist
– Corretto un problema sul download del Maillog
– Migliorate le prestazioni di LocalRBL
– Corretto un problema sul rilascio di archivi protetti da Password
– Corretto un problema sulle API per ISP

Nuove Funzionalità

– Nuova interfaccia Web
– Aggiunta la nuova funzionalità URL Sandbox
– Aggiunta High Availability Distributed
– Aggiunto un nuovo plugin Graymail
– Aggiunto il supporto ai certificati Crittografici
– Aggiunta l’azione Forward per i messaggi clean
– Filechecks archive è attivato per tutti i domini
– La richiesta di rilascio del messaggio dalla quarantena viene notificato all’amministratore
– Le impostazioni di Clean Messages sono state separate dalle impostazioni di Quarantine Retention
– Aggiunto il filtro Bounced emails nelle funzioni di ricerca
– Nuove funzionaiità offerte dalle API
– Aggiunta l’opzione SMTP Delay warning
– File con estensione .jar vengono bloccati di default
– Motore di scansione aggiornato
– Aggiunta la possibilità di vedere lo stato di aggiornamento dei compomenti di Libra Esva

Tutti i clienti LibraESVA sono incoraggiati a procedere all’aggiornamento.

NOTE: Questo aggiornamento può impiegare oltre 5 minuti di tempo per completarsi e richiede il riavvio del sistema al termine.
Prima di installare l’aggiornamento è buona prassi effettuare uno snapshot della macchina virtuale.

L’aggiornamento è scaricabile all’indirizzo: http://docs.libraesva.com/download/libra-esva-3-6-5-0-to-3-7-0-0-upgrade-script

I tecnici certificati su LibraESVA di Argonavis sono a tua disposizione per darti supporto tecnico o commerciale su LibraESVA

Richiedi Informazioni

Ransomware Fantom

Sembra un aggiornamento critico di Windows, mentre invece è solo il maschera dietro cui si nasconde Fantom, uno delle ultime varianti di Ransomware scoperte.

Il gruppo MalwareHunterTeam, che ha disoffuscato il codice, ha potuto osservare che dal punto di vista crittogratico assomiglia agli altri Ransomware basati su EDA2, genera una chiave AES a 128 bit da usare per crittografare tutti i file, a sua volta anche la chiave viene crittata con l’algoritmo RSA e viene caricata su un server di Command & Control gestito dai criminali.

cleanup

Una volta iniziato il processo di crittografia dei file, il sistema mostra una maschera tipica di quando è in corso un aggiornamento di Windows, tuttavia la percentuale non riguarda l’aggiornamento del sistema, ma la crittazione dei file presenti.

windows-update-screen

Al termine delle operazioni di crittografia i file colpiti avranno la propria estensione modificata in .fantom ed in ciascuna cartella si potrà trovare il file DECRYPT_YOUR_FILES.HTML con le istruzioni per pagare il riscatto.

Al momento l’unico modo per decrittare i file è avere la chiave memorizzata sul server Command & Control, ma il suggerimento come al solito è quello di non pagare.

Sicuramente non si tratta di un ransomware particolarmente originale sotto il punto di vista tecnico, ma è originale il suo camuffamento sotto la forma di Windows Update.

Ricordiamo i principali metodi per evitare di essere infettati:

Un ottimo sistema antispam, che filtri messaggi di spam ed i malware allegati
Un ottimo sistema antimalware in grado di filtrare anche le minacce sconosciute
Educare gli utenti a tenere comportamenti corretti evitando di aprire messaggi il cui contenuto non è chiaro.

Argonavis ed i suoi partner sono a tua disposizione per consigliarti ed implementare le migliori scelte per aumentare il livello di sicurezza della tua struttura.

Richiedi Informazioni

Bug Bounty Program

I Bug Bounty Program sono dei programmi a premio finanziati dai produttori di software, in cui vengono remunerate le scoperte di nuovi bug o vulnerabilità ancora sconosciute. robot-mela

Questi programmi servono ai produttori di software di venire a conoscenza di vulnerabilità e bug che possono mettere in pericolo la sicurezza del loro prodotto, ben consapevoli che in un mercato affollato di concorrenti, basta un passo falso per perdere importanti quote di mercato.

A questo programma possono partecipare tutti i ricercatori capaci di individuare delle falle di sicurezza, quando una di queste viene individuata deve essere rigorosamente segnata ai gestori del programma e deve rimanere riservata fino al momento in cui viene rilasciata una apposita fix, in quel momento viene resa pubblica.

La partecipazione ad un programma di questo genere, lascia intendere un sincero desiderio da parte del vendor di perfezionare il proprio codice riducendo il rischio che possa essere oggetto di un attacco.

Categorie