25.05.2015

Тестирование Fireeye EX в режиме MTA + URL Dynamic Analysis / Test Fireeye EX MTA + URLDA

Стенд остался тот же, что был описан ранее в статье :
http://devnulls.blogspot.com/2015/05/fireeye-ex-mta-fireeye-ex-mta-config.html

Были добавлены следующие настройки - URL Dynamic Analysis.

URL Dynamic Analysis - позволяет EX анализировать URL-адреса, которые указывают на объекты, такие как ZIP, EXE, PDF, DOC и DOCX файлы. Основываясь на набор внутренних правил безопасности, электронная EX будет скачать объект из ссылочного URL и предавать объект в свой MVX для анализа.(Не NX !) Если объект является вредоносными, то EX может немедленно заблокировать электронную почту не доходя до конечного потребителя.

Прописываем ip на интерфейс ether2:
no interface ether2 dhcp
   interface ether2 duplex auto
   interface ether2 ip address 192.168.1.232 /24
   interface ether2 mtu 1500
no interface ether2 shutdown
   interface ether2 speed auto
no interface ether2 zeroconf

Прописываем тот же ip в веб морду:




или то же самое в CLI:
email-analysis url-dynamic-analysis default-gateway ip 192.168.1.1
email-analysis url-dynamic-analysis external ip 192.168.1.232 /24
email-analysis url-dynamic-analysis http-proxy 0.0.0.0 0
email-analysis url-dynamic-analysis nameserver ip 192.168.5.5

Вырезка примера из мана:


Теперь результаты теста URL Dynamic Analysis. Я загружал файлы на хостинги 
ex.ua
rghost.ru
Разница между ними в том, что первый дает ссылки на загрузку файла вида:
А второй так сказать "очень прямую" ссылку :

В первом тесте, я в письмо добавил "очень прямую" на зараженный файл, и отправил тестовому пользователю.


Отправитель:


Получатель (ему письмо не было доставлено, вместо него было оповещение, что некто пытался прислать "плохое" письмо, и которое в конечном итоге было заблокировано)
Это означает, что FE EX отработал нормально.


И теперь посмотрим на сам EX, в карантин, разберем детали отравленного письма:


Как видим прямые ссылки (в конце которой указан тип файла) он передает на анализ. 
Теперь приложим ссылку, в которой не указан тип файла:

Отправитель

Получатель:


Как видно, письмо дошло до пользователя(если бы оно было заблокировано, нам бы пришло оповещение, как в прошлый раз, а оригинальное письмо было бы передано в карантин), ссылка не была спалена, и передана для анализа.

Смотрим на EX:
Нет алерта.

Теперь укажем ссылки на архивы в которых запакована мальварь:

Отправитель(отправляем ZIP):


Получатель:


Логи FE EX :


Теперь приложим не ZIP а RAR архив, с тем же содержимым :

Отправитель:


Получатель:
Как видно, RAR архив прошел....

И последнее, что бы не было за ссылкой, то ли ZIP - который детектится, то ли EXE то ли RAR, если ссылка будет без типа файла в конце, она не будет передана на анализ.

Отправитель:

Получатель:

В случае, если вас EX находится за NX, вам следует ip который прописан на ether2 добавить в вайт лист на NX.
NOTE: If the Email MPS is deployed behind a FireEye Web MPS, it is recommend that the IP address of the Email MPS appliance is whitelisted to prevent the Web MPS from alerting that the Email MPS is downloading malicious content. For more information about whitelisting, see the FireEye 7.1.0 Web MPS Operator's Guide.
-------- Исходя из ограничений EX по поводу файлов и ссылок, я бы не добавлял его в вайт лист, для того, что бы NX заблокировал те ссылки и файлы, которые обходят EX....И все же, URL Dynamic Analysis полезная штука, так как она позволяет разгрузить работу NX, и по сути, этот механизм "очень поверхностно" заменяет сам NX, если у вас его нет.