Begrijp de URL Defang en Redirect-actie op de beveiligde e-mailgateway

Inleiding

In dit document wordt het verschil beschreven tussen defang- en redirect-acties die in het URL-filter worden gebruikt en hoe u de beschikbare herschrijfoptie voor het href-kenmerk en de tekst kunt gebruiken.

Voorwaarden

Vereisten

Om actie te ondernemen op basis van de reputatie van een URL of om een aanvaardbaar gebruiksbeleid af te dwingen met de berichten- en inhoudsfilters, moet de functie Uitbraakfilters wereldwijd worden ingeschakeld.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Cisco Secure Email Gateway
• Uitbraakfilters
• Inhoud- en berichtenfilters

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Een van de mogelijkheden van de URL-filterfunctie is om actie te ondernemen op basis van de URL-reputatie of -categorie met behulp van berichten- en / of inhoudsfilters. Op basis van het URL-scanresultaat (URL-gerelateerde voorwaarde) kan een van de drie beschikbare acties op een URL worden toegepast:

• Defang URL
• Omleiden naar Cisco Security Proxy
• URL vervangen door het tekstbericht
  
  

De focus van dit document is om het gedrag tussen de Defang- en Redirect-URL-opties uit te leggen. Het biedt ook een korte beschrijving en uitleg van de URL-herschrijfmogelijkheden van niet-virale bedreigingsdetectie van een uitbraakfilter.

Berichtvoorbeeld

Het voorbeeldbericht dat bij alle tests wordt gebruikt, is het MIME-meerdelige/alternatieve type bericht en bevat zowel tekst-/onbewerkte als tekst-/html-delen. Deze onderdelen worden meestal automatisch gegenereerd door e-mailsoftware en bevatten dezelfde soort inhoud die is opgemaakt voor HTML- en niet-HTML-ontvangers. Hiervoor werd de inhoud van tekst/plain en tekst/html handmatig bewerkt.

Content-Type: multipart/alternative;
 boundary="===============7781793576330041025=="
MIME-Version: 1.0
From: admin@example.com
Date: Mon, 04 Jul 2022 14:38:52 +0200
To: admin@cisco.com
Subject: Test URLs

--===============7781793576330041025==
Content-Type: text/plain; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit

This is text part of the message

     Link1: http://malware.testing.google.test/testing/malware/ and some text
     Link2: http://cisco.com and some text

--===============7781793576330041025==
Content-Type: text/html; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
   


   


   
     
This is an HTML  part of the message
     
     
Link1: http://malware.testing.google.test/testing/malware/ and some text
     
Link2: CLICK ME     some text
     
Link3: http://malware.testing.google.test/testing/malware/ and some text
     
Link4: http://cisco.com and some text
  
   

   
--===============7781793576330041025==--

Deel I - Defang

Configuraties

In het eerste deel gebruikt de configuratie:

• E-mailbeleid met standaardconfiguratie tegen spam (AS)/ antivirus (AV)/ Advanced Malware Protection (AMP) en uitbraakfilters (OF) uitgeschakeld

• Filter voor binnenkomende inhoud: filter voor URL_SCORE-inhoud ingeschakeld

Het inhoudsfilter gebruikt de URL-reputatievoorwaarde om Malafide URL's te matchen, die tussen -6.00 en -10.00 scoren. Als actie wordt de naam van het inhoudsfilter vastgelegd en de degenererende actie url-reputation-defang uitgevoerd.

Defang-actie

Het is belangrijk om duidelijk te maken wat een ontmoedigende actie is. De gebruikershandleiding geeft een uitleg; Defang een URL zodat deze niet klikbaar is. Berichtontvangers kunnen de URL nog steeds zien en kopiëren.

Scenario A

In dit scenario wordt het resultaat van de defang-actie uitgelegd die is geconfigureerd met standaardinstellingen. In de standaardinstelling wordt de URL herschreven wanneer alleen de HTML-tags worden gestript. Bekijk een HTML-paragraaf met enkele URL's erin:

Link1: http://malware.testing.google.test/testing/malware/ and some text
Link2: CLICK ME     some text
Link3: http://malware.testing.google.test/testing/malware/ and some text

In de eerste twee alinea's wordt de URL weergegeven door een juiste HTML A-tag. Het <A> element bevat het href= attribuut dat is ingesloten in de tag zelf en geeft de bestemming van de koppeling aan. De inhoud van de tag-elementen kan ook de bestemming van de link aangeven. Dit text form gedeelte van de link kan de URL bevatten. De eerste Link1 bevat dezelfde URL link in zowel href attribuut en tekst deel van het element. Het kan zijn dat deze URL’s verschillend zijn. De tweede Link2 bevat alleen de juiste URL binnen het href attribuut. De laatste alinea bevat geen A-elementen.

Opmerking: het juiste adres kan altijd worden gezien wanneer u de cursor over de link beweegt of wanneer u de broncode van het bericht bekijkt. Helaas is de broncode niet gemakkelijk te vinden bij sommige populaire e-mailclients.

Zodra het bericht is gekoppeld aan het URL_SCORE-filter, worden de schadelijke URL's beschadigd. Wanneer de URL-logboekregistratie is ingeschakeld met de opdracht, OUTBREAKCONFIG zijn de scores en URL's te vinden in mail_logs. 

 Mon Jul  4 14:46:43 2022 Info: MID 139502 URL http://malware.testing.google.test/testing/malware/ has reputation -9.4 matched Cond tion: URL Reputation Rule
 Mon Jul  4 14:46:43 2022 Info: MID 139502 Custom Log Entry: URL_SCORE
 Mon Jul  4 14:46:43 2022 Info: MID 139502 URL http://malware.testing.google.test/testing/malware/ has reputation -9.4 matched Acti n: URL defanged
 Mon Jul  4 14:46:43 2022 Info: MID 139502 URL http://malware.testing.google.test/testing/malware/ has reputation -9.4 matched Acti n: URL defanged
 Mon Jul  4 14:46:43 2022 Info: MID 139502 URL http://malware.testing.google.test/testing/malware/ has reputation -9.4 matched Acti n: URL defanged
 Mon Jul  4 14:46:43 2022 Info: MID 139502 rewritten to MID 139503 by url-reputation-defang-action filter 'URL_SCORE'

Dit resulteert in de herschreven boodschap:

--===============7781793576330041025==
Content-Type: text/html; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit



   
   
     
This is an HTML  part of the message

     
Link1: http://malware.testing.google.test/testing/malware/ and some text
     
Link2: CLICK ME some text
     
Link3: http://malware.testing.google.test/testing/malware/ and some text
     
Link4: http://cisco.com and some text
   

   
--===============7781793576330041025==--

Het resultaat van de actie voor het verwijderen van het tekst/html-gedeelte van het MIME-bericht is een uitgeklede A-tag en de tag-inhoud blijft onaangeroerd. In de eerste twee alinea's werden beide koppelingen gedefanced, waarbij de HTML-code werd gestript en het tekstgedeelte van het element werd achtergelaten. Het URL-adres in de eerste alinea is dat van het tekstgedeelte van het HTML-element. Opgemerkt moet worden dat het URL-adres uit de eerste alinea nog steeds zichtbaar is nadat de defang-actie is uitgevoerd, maar zonder de HTML A-tags mag het element niet klikbaar zijn. De derde alinea wordt niet gewijzigd omdat het URL-adres hier niet tussen A-tags wordt geplaatst en niet als een link wordt beschouwd. Misschien is het om twee redenen niet wenselijk gedrag. Ten eerste kan de gebruiker de link gemakkelijk zien en kopiëren en deze in de browser uitvoeren. De tweede reden is dat sommige e-mailsoftware de neiging heeft om een geldige vorm van URL in de tekst te detecteren en er een klikbare link van te maken.

Laten we eens kijken naar de tekst/plain deel van de MIME-boodschap. Het tekst/vlakke gedeelte bevat twee URL's in het tekstformulier. De tekst/plain wordt weergegeven door MUA die de HTML-code niet begrijpt. In de meeste moderne e-mailclients ziet u de tekst / platte delen van het bericht niet, tenzij u opzettelijk uw e-mailclient hebt geconfigureerd om dit te doen. Meestal moet u de broncode van het bericht controleren, een onbewerkte EML-indeling van het bericht om de MIME-onderdelen te zien en te onderzoeken.

De aanbieding hier toont URL's uit het tekst-/platte gedeelte van het bronbericht.

Link1: http://malware.testing.google.test/testing/malware/ and some text
Link2: http://cisco.com and some text

Een van die twee links kreeg een kwaadaardige score en werd beschadigd. Standaard heeft de defangactie die wordt uitgevoerd op het text/plain gedeelte van het MIME type een ander resultaat dan op het text/html gedeelte. Het is tussen GEBLOKKEERDE woorden en alle punten tussen vierkante haakjes.

--===============7781793576330041025==
Content-Type: text/plain; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit

This is text part of the message

     Link1: BLOCKEDmalware[.]testing[.]google[.]test/testing/malware/BLOCKED and some text
     Link2: http://cisco.com and some text

--===============7781793576330041025==

Som omhoog:

• Defang uitvoeren op het gedeelte TEXT/PLAIN herschrijft de URL in BLOKKEERBLOKKEN
• Defang uitgevoerd op het gedeelte TEXT/HTML herschrijft de URL van een HTML A-tag wanneer de A-tag wordt verwijderd zonder dat de tekst tussen A-tags wordt aangeraakt, dat kan ook een URL-adres zijn

Scenario B

Dit scenario geeft informatie over hoe het gedrag van de defangs-actie verandert na het gebruik van een van de geavanceerde configuratieopties voor webbeveiliging. De geavanceerde configuratie voor webbeveiliging is de CLI-opdracht op machineniveau waarmee instellingen kunnen worden afgestemd die specifiek zijn voor het scannen van URL's. Met een van de instellingen hier kunt u het standaardgedrag van de defang-actie wijzigen.

> websecurityadvancedconfig

Enter URL lookup timeout in seconds:
[15]> 

Enter the maximum number of URLs that can be scanned in a message body:
[100]> 

Enter the maximum number of URLs that can be scanned in the attachments in a message:
[25]> 

Do you want to rewrite both the URL text and the href in the message? Y indicates that the full rewritten URL will appear in the email body. N indicates that the rewritten URL will only be visible in the href for HTML messages. [N]> Y

... 

In de vierde vraag, Do you want to rewrite both the URL text and the href in the message? ..het antwoord Y geeft aan dat in het geval van de HTML-gebaseerde MIME deel van het bericht alle URL-strings die overeenkomen, ongeacht of gevonden in de href attribuut van de A-tag element, het is tekst deel of buiten alle elementen die worden herschreven. In dit scenario is dezelfde boodschap aanwezig, maar met een iets andere uitkomst.

Bekijk nogmaals de tekst/html MIME-onderdeelcode met de URL's en vergelijk deze met de HTML-code die door de e-mailgateway wordt verwerkt. 

Link1: http://malware.testing.google.test/testing/malware/ and some text
Link2: CLICK ME     some text
Link3: http://malware.testing.google.test/testing/malware/ and some text
Link4: http://cisco.com and some text

Wanneer de optie href en herschrijven van tekst is ingeschakeld, worden alle overeenkomende filter-URL's gewist, ongeacht of het URL-adres deel uitmaakt van het href-attribuut of tekstgedeelte van het A-tag HTML-element, of in een ander deel van het HTML-document wordt gevonden.

--===============7781793576330041025==
Content-Type: text/html; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit



   
   
     
This is an HTML  part of the message

     
Link1: BLOCKEDmalware[.]testing[.]google[.]test/testing/malware/BLOCKED and some text
     
Link2: CLICK ME some text
     
Link3: BLOCKEDmalware[.]testing[.]google[.]test/testing/malware/BLOCKED and some text
     
Link4: http://cisco.com and some text
   

   
--===============7781793576330041025==--

De gewijzigde URL's worden nu herschreven wanneer het element A-tag wordt gestript samen met een herschrijven van het tekstgedeelte van de koppeling wanneer het overeenkomt met de URL-indeling. Het herschreven tekstgedeelte wordt op dezelfde manier uitgevoerd als in het tekst-/effen gedeelte van het MIME-bericht. Het item wordt tussen geblokkeerde woorden geplaatst en alle punten worden tussen vierkante haken geplaatst. Dit voorkomt dat de gebruiker de URL kopieert en plakt, en sommige e-mailsoftwareclients maken de tekst aanklikbaar. 

Som omhoog:

• Defang uitvoeren op het gedeelte TEXT/PLAIN herschrijft de URL in BLOKKEERBLOKKEN
• Defang wordt uitgevoerd op het gedeelte TEXT/HTML en herschrijft de URL van een HTML A-tag wanneer een A-tag wordt verwijderd
• Defang uitvoeren op het gedeelte TEXT/HTML herschrijft alle URL-tekenreeksen die overeenkomen met GEBLOKKEERDE blokken

Deel II - Omleiden

Configuraties

In het tweede deel gebruikt de configuratie:

• E-mailbeleid met standaard AS/AV/AMP-configuratie en OF uitgeschakeld

• Filter voor binnenkomende inhoud: filter voor URL_SCORE-inhoud ingeschakeld

Het inhoudsfilter gebruikt de URL-reputatievoorwaarde om Malafide URL's te matchen, die tussen -6.00 en -10.00 scoren. Als actie wordt de naam van het inhoudsfilter geregistreerd en de redirect action actie uitgevoerd.

omleidingsactie

Omleiden naar Cisco Security Proxy-service voor click-time evaluatie stelt de ontvanger van het bericht in staat om op de link te klikken en te worden doorgestuurd naar een Cisco-webbeveiligingsproxy in de cloud, die de toegang blokkeert als de site wordt geïdentificeerd als schadelijk.

Scenario C

Dit scenario is zeer vergelijkbaar in gedrag met scenario A uit het eerste deel met het verschil gemaakt in de actie inhoudfilter om de URL om te leiden in plaats van deze te deblokkeren. De instellingen voor geavanceerde configuratie van websecurity worden teruggezet naar de standaardinstellingen, wat betekent dat de "Do you want to rewrite both the URL text and the href in the message? .. instellingen zijn ingesteld op N.

De e-mailgateway detecteert en evalueert elk van de URL's. De kwaadaardige score activeert de URL_SCORE-inhoudsfilterregel en onderneemt de actie url-reputation-proxy-redirect-action

Tue Jul  5 12:42:19 2022 Info: MID 139508 URL http://malware.testing.google.test/testing/malware/ has reputation -9.4 matched Condition: URL Reputation Rule
 Tue Jul  5 12:42:19 2022 Info: MID 139508 Custom Log Entry: URL_SCORE
Tue Jul  5 12:42:19 2022 Info: MID 139508 URL http://malware.testing.google.test/testing/malware/ has reputation -9.4 matched Action: URL redirected to Cisco Security proxy
Tue Jul  5 12:42:19 2022 Info: MID 139508 URL http://malware.testing.google.test/testing/malware/ has reputation -9.4 matched Action: URL redirected to Cisco Security proxy
Tue Jul  5 12:42:19 2022 Info: MID 139508 URL http://malware.testing.google.test/testing/malware/ has reputation -9.4 matched Action: URL redirected to Cisco Security proxy
Tue Jul  5 12:42:19 2022 Info: MID 139508 rewritten to MID 139509 by url-reputation-proxy-redirect-action filter 'URL SCORE'

Bekijk hoe de URL's worden herschreven in het HTML-gedeelte van het bericht. Net als in scenario A worden alleen de URL's in het href-kenmerk van een A-tag-element herschreven en worden URL-adressen in het tekstgedeelte van het A-tag-element overgeslagen. Bij een defang actie wordt een heel A-tag element gestript maar bij een redirect actie wordt de URL in het href attribuut herschreven.

--===============7781793576330041025==
Content-Type: text/html; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
   


   
   
     
This is an HTML  part of the message
     
     
Link1: http://malware.testing.google.test/testing/malware/ and some text
     
Link2: CLICK ME some text
     
Link3: http://malware.testing.google.test/testing/malware/ and some text
     
Link4: http://cisco.com and some text
   

   
--===============7781793576330041025==--

Als gevolg hiervan geeft de e-mailclient twee actieve koppelingen weer: Link1 en Link2, beide wijzen naar de Cisco Web Security Proxy-service, maar het bericht dat wordt weergegeven in de e-mailclient geeft het tekstgedeelte van de A-tag weer dat niet standaard wordt herschreven. Om hier beter onder te begrijpen, kunt u de uitvoer bekijken van de webmailclient die het tekst / html-gedeelte van het bericht weergeeft.

In het text/plain gedeelte van het MIME gedeelte lijkt de omleiding makkelijker te begrijpen omdat elke URL string die overeenkomt met de score herschreven wordt.

--===============7781793576330041025==
Content-Type: text/plain; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit

This is text part of the message

     Link1: http://secure-web.cisco.com/1duptzzum1fIIuAgDNq__M_hrANfOQZ4xulDjL8yqeTmpwbHlPo0722VEIVeKfsJWwF00kULmjFQancMMnrp6xEpTmKeEFYnhD0hR1uTwyP2TC-b74OjVOznKsikLcNmdC4pIBtIolsZ7O7Mml0C4HECgyxBRf_bxYMAPQDNVSZ0w3UPNf-m807RwtsPfi_-EyXHQb3pTzMpyFbQ86lVlfDq96VcNM9qiDzG1TgFwej4J_-QM-72i3qCp9eYFDXR1COY4T9bkDVO_oxZh56Z53w/http%3A%2F%2Fmalware.testing.google.test%2Ftesting%2Fmalware%2F and some text
     Link2: http://cisco.com and some text

--===============7781793576330041025==

Som omhoog:

• Omleiden uitvoeren op het gedeelte TEXT/PLAIN herschrijft de URL-tekenreeks die overeenkomt met de Cisco Web Secure-proxyservice
• Omleiden uitvoeren op het gedeelte TEXT/HTML herschrijft de URL van een HTML A-tag href-attribuut met de Cisco Web Secure-proxyservice, maar laat alle andere URL-tekenreeksen ongewijzigd

Scenario D

Dit scenario is vergelijkbaar met scenario B uit deel één. Als u alle URL-tekenreeksen wilt herschrijven die overeenkomen in het HTML-gedeelte van het bericht, is deze optie ingeschakeld. Dit wordt gedaan met de opdracht websecurity advanced config door wanneer u Y voor de "Do you want to rewrite both the URL text and the href in the message? .. vraag beantwoordt.

--===============7781793576330041025==
Content-Type: text/html; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
   


   
   
     
This is an HTML  part of the message
     
     
Link1: http://secure-web.cisco.com/1duptzzum1fIIuAgDNq__M_hrANfOQZ4xulDjL8yqeTmpwbHlPo0722VEIVeKfsJWwF00kULmjFQancMMnrp6xEpTmKeEFYnhD0hR1uTwyP2TC-b74OjVOznKsikLcNmdC4pIBtIolsZ7O7Mml0C4HECgyxBRf_bxYMAPQDNVSZ0w3UPNf-m807RwtsPfi_-EyXHQb3pTzMpyFbQ86lVlfDq96VcNM9qiDzG1TgFwej4J_-QM-72i3qCp9eYFDXR1COY4T9bkDVO_oxZh56Z53w/http%3A%2F%2Fmalware.testing.google.test%2Ftesting%2Fmalware%2F and some text
     
Link2: CLICK ME some text
     
Link3: http://secure-web.cisco.com/1duptzzum1fIIuAgDNq__M_hrANfOQZ4xulDjL8yqeTmpwbHlPo0722VEIVeKfsJWwF00kULmjFQancMMnrp6xEpTmKeEFYnhD0hR1uTwyP2TC-b74OjVOznKsikLcNmdC4pIBtIolsZ7O7Mml0C4HECgyxBRf_bxYMAPQDNVSZ0w3UPNf-m807RwtsPfi_-EyXHQb3pTzMpyFbQ86lVlfDq96VcNM9qiDzG1TgFwej4J_-QM-72i3qCp9eYFDXR1COY4T9bkDVO_oxZh56Z53w/http%3A%2F%2Fmalware.testing.google.test%2Ftesting%2Fmalware%2F and some text
     
Link4: http://cisco.com and some text
   
   
   

   
--===============7781793576330041025==--

Zodra de href en herschrijven van tekst is ingeschakeld, worden alle URL-tekenreeksen die overeenkomen met de voorwaarden van het inhoudfilter omgeleid. Het bericht in de e-mailclient wordt nu gepresenteerd met alle omleiding. Om dit beter te begrijpen, kijkt u naar de uitvoer van de webmailclient die het tekst / html-gedeelte van het bericht weergeeft.

Het tekst/platte gedeelte van het MIME-bericht is hetzelfde als in Scenario C, aangezien de wijziging in de geavanceerde configuratie van websecurity geen invloed heeft op de tekst/platte delen van het bericht.

--===============7781793576330041025==
Content-Type: text/plain; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit

This is text part of the message

     Link1: http://secure-web.cisco.com/1duptzzum1fIIuAgDNq__M_hrANfOQZ4xulDjL8yqeTmpwbHlPo0722VEIVeKfsJWwF00kULmjFQancMMnrp6xEpTmKeEFYnhD0hR1uTwyP2TC-b74OjVOznKsikLcNmdC4pIBtIolsZ7O7Mml0C4HECgyxBRf_bxYMAPQDNVSZ0w3UPNf-m807RwtsPfi_-EyXHQb3pTzMpyFbQ86lVlfDq96VcNM9qiDzG1TgFwej4J_-QM-72i3qCp9eYFDXR1COY4T9bkDVO_oxZh56Z53w/http%3A%2F%2Fmalware.testing.google.test%2Ftesting%2Fmalware%2F and some text
     Link2: http://cisco.com and some text

--===============7781793576330041025==

Som omhoog:

• Omleiden uitvoeren op het gedeelte TEXT/PLAIN herschrijft de URL-tekenreeksen die overeenkomen met de Cisco Web Secure-proxyservice
• Omleiden uitvoeren op het gedeelte TEXT/HTML herschrijft de URL van een HTML A-tag href-attribuut samen met het tekstgedeelte en elke andere URL-tekenreeks die overeenkomt in de HTML-hoofdtekst met de Cisco Web Secure-proxyservice

Deel 3 - VAN omleiding

Dit deel geeft informatie over hoe OF-instellingen voor detectie van niet-virale bedreigingen invloed hebben op URL-scans.

Configuratie

Hiervoor is het inhoudsfilter dat in de eerste twee delen wordt gebruikt, uitgeschakeld.

• E-mailbeleid met standaard AS/AV/AMP-configuratie en OF ingeschakeld

• De Outbreak Filters-scan voor detectie van niet-virale bedreigingen is geconfigureerd met een URL-herschrijfset om alle URL's in schadelijke e-mails te herschrijven

Wanneer het bericht door OF als kwaadaardig wordt geclassificeerd, worden alle URL's binnen herschreven met de Cisco Web Secure-proxyservice.

Scenario E

Dit scenario laat zien hoe het herschrijven van het bericht werkt met alleen OF ingeschakeld en websecurity advanced config href en tekst herschrijven uitgeschakeld.

Wed Jul  6 14:09:19 2022 Info: MID 139514 Outbreak Filters: verdict positive
Wed Jul  6 14:09:19 2022 Info: MID 139514 Threat Level=5 Category=Phish Type=Phish
Wed Jul  6 14:09:19 2022 Info: MID 139514 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Wed Jul  6 14:09:19 2022 Info: MID 139514 rewritten URL u'http://cisco.com'
Wed Jul  6 14:09:19 2022 Info: MID 139514 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Wed Jul  6 14:09:19 2022 Info: MID 139514 rewritten URL u'http://malware.testing.google.test/testing/malware/'
Wed Jul  6 14:09:19 2022 Info: MID 139514 rewritten to MID 139515 by url-threat-protection filter 'Threat Protection'
Wed Jul  6 14:09:19 2022 Info: Message finished MID 139514 done
Wed Jul  6 14:09:19 2022 Info: MID 139515 Virus Threat Level=5
Wed Jul  6 14:09:19 2022 Info: MID 139515 quarantined to "Outbreak" (Outbreak rule:Phish: Phish)

Laten we beginnen met het tekst/plain MIME gedeelte. Na een snelle controle kan worden opgemerkt dat alle URL's in het tekst-/platte gedeelte worden herschreven naar de Cisco Web Secure-proxyservices. Het gebeurt omdat URL herschrijven is ingeschakeld voor alle URL's in het schadelijke bericht Uitbraak.

--===============7781793576330041025==
Content-Type: text/plain; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable

This is text part of the message

     Link1: http://secure-web.cisco.com/11ZWFnZYM5Rp_tvvnco4I3GtnExIEFqpirK=
f5WBmD_7X-8wSvnm0QxYNYhb4aplEtOXp_-0CMTnyw6WX63xZIFnj5S_n0vY18F9GOJWCSoVJpK=
3OEq8lB-jcbjx9BWlZaNbl-t-uTOLj107Z3j8XCAdOwHe1t7GGF8LFt1GNFRCVLEM_wQZyo-uxh=
UfkhZVETXPZAdddg6-uCeoeimiRZUOAzqvgw2axm903AUpieDdfeMHYXpmzeMwu574FRGbbr7uV=
tB65hfy29t2r_VyWA24b6nyaKyJ_hmRf2A4PBWOTe37cRLveONF9cI3P51GxU/http%3A%2F%2F=
malware.testing.google.test%2Ftesting%2Fmalware%2F and some text
     Link2: http://secure-web.cisco.com/1o7068d-d0bG3Sqwcifil89X-tY7S4csHT6=
LsLToTUYJqWzfLfODch91yXWfJ8aOxPq1PQBSACgJlDt4hCZipXXmC1XI3-XdNLGBMd0bLfj1cB=
hY_OWlBfLD-zC86M02dm_fOXCqKT0tDET3RD_KAeUWTWhWZvN9i8lLPcwBBBi9TLjMAMnRKPmeg=
En_YQvDnCzTB4qYkG8aUQlFsecXB-V_HU1vL8IRFRP-uGINjhHp9kWCnntJBJEm0MheA1T6mBJJ=
ZhBZmfymfOddXs-xIGiYXn3juN1TvuOlCceo3YeaiVrbOXc0lZs3FO8xvNjOnwVKN181yGKPQ9Y=
cn5aSWvg/http%3A%2F%2Fcisco.com and some text

--===============7781793576330041025==

Dit is het verwerkte tekst/html-gedeelte van het MIME-bericht.

--===============7781793576330041025==
Content-Type: text/html; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable


   
   
     
This is an HTML  part of the message
    =20
     
Link1: CLICK ME<=
/a>     some text



Het eerste dat hier kan worden opgemerkt, is waarom Link4 niet wordt herschreven. Als je het artikel goed leest, weet je het antwoord al. Het tekst/html-gedeelte van MIME evalueert en manipuleert standaard alleen de href-attributen van de A-tag-elementen. Als een soortgelijk gedrag als voor tekst/gewoon deel gewenst is, moet de websecurity advanced config href en text rewrite ingeschakeld zijn. Het volgende scenario doet precies dat.

Som omhoog:

OF redirect uitvoeren op het gedeelte TEXT/PLAIN herschrijft alle URL-tekenreeks die overeenkomt met de Cisco Web Secure-proxyservice
OF redirect uitvoeren op het gedeelte TEXT/HTML herschrijft alleen de URL van een HTML A-tag href attribuut met de Cisco Web Secure proxy service


Scenario F





Detectie van niet-virale bedreigingen met uitbraakfilter


Ja




Actie inhoudsfilter


Nee




WebSecurityAdvancedConfig HREF en herschrijven van tekst is ingeschakeld


Ja





Met dit scenario kunnen websecurity advanced config href en text rewrite laten zien hoe het gedrag in URL-herschrijven dat wordt geboden door OF non-viral threat detection verandert. Op dit moment moet worden begrepen dat de geavanceerde configuratie voor webbeveiliging geen invloed heeft op tekst/onbewerkte MIME-onderdelen. Laten we alleen het tekst / html-gedeelte evalueren en zien hoe het gedrag is veranderd.

--===============7781793576330041025==
Content-Type: text/html; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable


   
   
     
This is an HTML  part of the message
    =20
     
Link1: http://secure-web.cisco.com/1dgafaGfZ6Gmc_TKmEH8FIG_-l0TxJMFkg=
1-vbjf0-oZc9G-byKGdhMW_gCESYCPDlQtJfFkI9k069nitsXnL49WLXoXErSWx-YfvWvnBjP18=
D3Vjoi50lAqhm9yJJaK_lg6f38p4NiMal8jdSIMp_1caEdG0LdzeZHHg_B7_XinulBHekVsVFAw=
-IkgA7jEusyfzIDtmJ45YgbI3Dg-WFWhSMgSHpcqkRP6aAjw-aKMEoCO9uLDowOhAKrY5w-nVfc=
EJ-tmvEV94LDIAiRlPYosumpsj5e_4Jvg4B_PDOfCvRynqhkMBGBHLEtVirz-SQjRFRHZKSpzNh=
bN1LU8WGA/http%3A%2F%2Fmalware.testing.google.test%2Ftesting%2Fmalware%2F and some text
     
Link2: CLICK ME     some text
     
Link3: http://secure-web.cisco.com/1dgafaGfZ6Gmc_TKmEH8FIG_-l0TxJMF=
kg1-vbjf0-oZc9G-byKGdhMW_gCESYCPDlQtJfFkI9k069nitsXnL49WLXoXErSWx-YfvWvnBjP=
18D3Vjoi50lAqhm9yJJaK_lg6f38p4NiMal8jdSIMp_1caEdG0LdzeZHHg_B7_XinulBHekVsVF=
Aw-IkgA7jEusyfzIDtmJ45YgbI3Dg-WFWhSMgSHpcqkRP6aAjw-aKMEoCO9uLDowOhAKrY5w-nV=
fcEJ-tmvEV94LDIAiRlPYosumpsj5e_4Jvg4B_PDOfCvRynqhkMBGBHLEtVirz-SQjRFRHZKSpz=
NhbN1LU8WGA/http%3A%2F%2Fmalware.testing.google.test%2Ftesting%2Fmalware%2F=
 and some text
     
Link4: http://secure-web.cisco.com/1I8PMIMwywH1YpcRmMijuqY9F2WGS37D=
ksLIADF8z6Mw8ke-Qgd4LygPhRy9rI0WRcHVJ2Vtg1wHXhviN9ntrQN8UzWinsycfwfbHeY6rde=
spOlWhj2DWsowiId45mwDsRxopfhRDWv3mKLHr4ZX70z8eW_QI8Vxu__-YtpYXgtl1_mT73FjCs=
5mMHKfIqS52FXyro-MoX9vu9V14wXSHwH4tpXHVR-Jq2yq_FWp3eiOTpkkJ6X1wTaofCKsSbQcb=
RhbFVvua3GZWWFyoQnDmAgvLbj_8KZNz8alFf8Iy_zUWMO7S4pZ2KsT-0qPtllAnUEJEjdvmcgO=
GDmeolL6m-g/http%3A%2F%2Fcisco.com and some text
   

  =20
--===============7781793576330041025==--

Het kan worden opgemerkt dat de uitvoer erg lijkt op die van Scenario D met het enige verschil dat alle URL's zijn herschreven, niet alleen de schadelijke. Alle URL-strings die overeenkomen in het HTML-gedeelte samen met de niet-schadelijke worden hier gewijzigd.

 
Som omhoog:

OF redirect uitvoeren op het gedeelte TEXT/PLAIN herschrijft alle URL-tekenreeksen die overeenkomen met de Cisco Web Secure-proxyservice
OF redirect uitvoeren op het gedeelte TEXT/HTML herschrijft de URL van een HTML A-tag href-attribuut samen met het tekstgedeelte van het element en alle andere URL-tekenreeksen die overeenkomen met de Cisco Web Secure-proxyservice


Scenario G





Detectie van niet-virale bedreigingen met uitbraakfilter


Ja




Actie inhoudsfilter


Defang




WebSecurityAdvancedConfig HREF en herschrijven van tekst is ingeschakeld


Ja





Dit laatste scenario valideert de configuratie.


E-mailbeleid met standaard AS/AV/AMP-configuratie en OF ingeschakeld




De OF-scan voor detectie van niet-virale bedreigingen is geconfigureerd met URL Rewrite ingesteld om alle URL's in kwaadaardige e-mails te herschrijven (hetzelfde als in eerdere scenario's)
Filter voor binnenkomende inhoud: filter voor URL_SCORE-inhoud ingeschakeld




Het inhoudsfilter gebruikt de URL-reputatievoorwaarde om Malafide URL's te matchen, die tussen -6.00 en -10.00 scoren. Als actie wordt de naam van het inhoudsfilter vastgelegd en de degenererende actie url-reputation-defang uitgevoerd.
Dezelfde kopie van het bericht wordt verzonden en geëvalueerd door de e-mailgateway met de resultaten: 

Wed Jul  6 15:13:10 2022 Info: MID 139518 URL http://malware.testing.google.test/testing/malware/ has reputation -9.4 matched Condition: URL Reputation Rule
Wed Jul  6 15:13:10 2022 Info: MID 139518 Custom Log Entry: URL_SCORE
Wed Jul  6 15:13:10 2022 Info: MID 139518 URL http://malware.testing.google.test/testing/malware/ has reputation -9.4 matched Action: URL defanged
Wed Jul  6 15:13:10 2022 Info: MID 139518 URL http://malware.testing.google.test/testing/malware/ has reputation -9.4 matched Action: URL defanged
Wed Jul  6 15:13:10 2022 Info: MID 139518 URL http://malware.testing.google.test/testing/malware/ has reputation -9.4 matched Action: URL defanged
Wed Jul  6 15:13:10 2022 Info: MID 139518 URL http://malware.testing.google.test/testing/malware/ has reputation -9.4 matched Action: URL defanged
Wed Jul  6 15:13:10 2022 Info: MID 139518 URL http://malware.testing.google.test/testing/malware/ has reputation -9.4 matched Action: URL defanged
Wed Jul  6 15:13:10 2022 Info: MID 139518 rewritten to MID 139519 by url-reputation-defang-action filter 'URL_SCORE'
Wed Jul  6 15:13:10 2022 Info: Message finished MID 139518 done
Wed Jul  6 15:13:10 2022 Info: MID 139519 Outbreak Filters: verdict positive
Wed Jul  6 15:13:10 2022 Info: MID 139519 Threat Level=5 Category=Phish Type=Phish
Wed Jul  6 15:13:10 2022 Info: MID 139519 rewritten URL u'http://cisco.com'
Wed Jul  6 15:13:10 2022 Info: MID 139519 rewritten URL u'http://cisco.com'
Wed Jul  6 15:13:10 2022 Info: MID 139519 rewritten to MID 139520 by url-threat-protection filter 'Threat Protection'
Wed Jul  6 15:13:10 2022 Info: Message finished MID 139519 done
Wed Jul  6 15:13:10 2022 Info: MID 139520 Virus Threat Level=5

De e-mailpijplijn legt uit dat het bericht eerst wordt geëvalueerd door de inhoudsfilters, waarbij het URL_SCORE-filter wordt geactiveerd en URL-reputation-defang-actie wordt toegepast. Met deze actie worden alle schadelijke URL's in zowel tekst-/onbewerkte als tekst-/html-MIME-delen gewist. Omdat websecurityadvanceconfig href en text rewrite is ingeschakeld, worden alle URL-strings die overeenkomen met de HTML-hoofdtekst, gedefrangeerd wanneer alle A-tag-elementen worden gestript en tekstdelen van de URL tussen geblokkeerde woorden worden herschreven en alle punten tussen vierkante haakjes worden geplaatst. Hetzelfde gebeurt met andere schadelijke URL's die niet in A-tag HTML-elementen zijn geplaatst.  Vervolgens verwerkt het uitbraakfilter het bericht. De OF detecteert schadelijke URL's en identificeert het bericht als kwaadaardig (Threat Level=5). Als gevolg hiervan herschrijft het alle kwaadaardige en niet-kwaadaardige URL's die in het bericht worden gevonden. Omdat de actie inhoudsfilter die URL's al heeft gewijzigd, herschrijft de OF alleen de rest van de niet-schadelijke URL's zoals deze opzettelijk is geconfigureerd om dit te doen. Het bericht dat wordt weergegeven in de e-mailclient als onderdeel van de beschadigde schadelijke URL's en een deel van de niet-schadelijke URL wordt omgeleid.

--===============7781793576330041025==
Content-Type: text/html; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable


   
   
     
This is an HTML  part of the message
    =20
     
Link1: BLOCKEDmalware[.]testing[.]google[.]test/testing/malware/BLO=
CKED and some text
     
Link2: CLICK ME     some text
     
Link3: BLOCKEDmalware[.]testing[.]google[.]test/testing/malware/BLO=
CKED and some text
     
Link4: http://secure-web.cisco.com/1wog4Tf2WFF2-CDoPczIaDd3YPk8P-6h=
Z-Mxxxr-QXa6Fe3MAxto2tNPOADSWkxmPHYIXbz4Is4_84KYpzs4W9355AgBE_OR7uLK65PXkSo=
wi5F8VGEQy4rxRctp1ZHKMHs8jLl0iiCb-b4v-eXfmJGtiXFM1QxH-lUzQY2we4-7_16ZT769mJ=
WXzo1kIkep4lCK17h2C8OOSplVTztS_j7kwFqgqOeUl_hjVy5AoHt8Wk7Af2N3boaKl7IpH1pw4=
_hmV1KyfPq8YBtXoL5yN4o41RYIU2QX5fuizJBJE3pNVaxRkZVm1e620EsMM9qMK/http%3A%2F=
%2Fcisco.com and some text
   

  =20
--===============7781793576330041025==--


Hetzelfde wordt toegepast op het tekst/vlakke gedeelte van het MIME-bericht. Alle niet-schadelijke URL's worden omgeleid naar Cisco Web Secure-proxy en de schadelijke URL's worden beschadigd.

--===============7781793576330041025==
Content-Type: text/plain; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable

This is text part of the message

     Link1: BLOCKEDmalware[.]testing[.]google[.]test/testing/malware/BLOCKE=
D and some text
     Link2: http://secure-web.cisco.com/1wog4Tf2WFF2-CDoPczIaDd3YPk8P-6hZ-M=
xxxr-QXa6Fe3MAxto2tNPOADSWkxmPHYIXbz4Is4_84KYpzs4W9355AgBE_OR7uLK65PXkSowi5=
F8VGEQy4rxRctp1ZHKMHs8jLl0iiCb-b4v-eXfmJGtiXFM1QxH-lUzQY2we4-7_16ZT769mJWXz=
o1kIkep4lCK17h2C8OOSplVTztS_j7kwFqgqOeUl_hjVy5AoHt8Wk7Af2N3boaKl7IpH1pw4_hm=
V1KyfPq8YBtXoL5yN4o41RYIU2QX5fuizJBJE3pNVaxRkZVm1e620EsMM9qMK/http%3A%2F%2F=
cisco.com and some text

--===============7781793576330041025==

Som omhoog:


CF defang run op het TEXT/PLAIN gedeelte herschrijft de URL in BLOKKEERBLOKKEN
CF defang run op het TEXT/HTML gedeelte herschrijft de URL van een HTML A-tag wanneer een A-tag wordt uitgekleed
CF defang uitvoeren op het TEXT/HTML gedeelte herschrijft alle URL strings die overeenkomen met GEBLOKKEERDE blokken
OF redirect uitvoeren op het gedeelte TEXT/PLAIN herschrijft alle URL-tekenreeksen die overeenkomen met de Cisco Web Secure-proxyservice (niet-schadelijk)
OF redirect uitvoeren op het gedeelte TEXT/HTML herschrijft de URL van een HTML A-tag href attribuut samen met het tekstgedeelte van het element en alle andere URL strings die overeenkomen met de Cisco Web Secure proxy service (niet-kwaadaardig)


Problemen oplossen

Volg deze punten wanneer het nodig is om het probleem met URL-herschrijven te onderzoeken.


Inschakelen van URL-logboekregistratie in uw mail_logs. Opdracht OUTBREAKCONFIG uitvoeren en antwoord Y op Do you wish to enable logging of URL's? [N]>"
Controleer WEBSECURITYADVANCECONFIG de instellingen onder elk lid van het e-mailgatewaycluster en zorg ervoor dat de optie voor herschrijven van tekst en href dienovereenkomstig is ingesteld en op elk systeem hetzelfde is. Houd er rekening mee dat deze opdracht specifiek is voor het systeemniveau en dat wijzigingen die hier worden aangebracht geen invloed hebben op de instellingen voor groepen of clusters.
Controleer de voorwaarden en activiteiten van uw inhoudsfilter en zorg ervoor dat het inhoudsfilter is ingeschakeld en wordt toegepast op het juiste beleid voor inkomende e-mail. Controleer of er geen andere inhoudsfilter is verwerkt met een laatste actie die kan worden overgeslagen om andere filters te verwerken.
Onderzoek de ruwe kopie van de bron en het laatste bericht. Houd in gedachten om het bericht op te halen in EML-formaat, de eigen formaten zoals MSG zijn niet betrouwbaar als het gaat om berichtenonderzoek. Met sommige e-mailclients kunt u het bronbericht bekijken en proberen de kopie van het bericht op te halen met een andere e-mailclient. Met MS Outlook voor Mac kunt u bijvoorbeeld de bron van het bericht bekijken, terwijl u met de Windows-versie alleen de kopteksten kunt bekijken. 


Samenvatting

Het doel van dit artikel is om te helpen bij een beter begrip van de beschikbare configuratieopties als het gaat om URL-herschrijven. Het is belangrijk om te onthouden dat moderne berichten worden gebouwd door de meeste e-mailsoftware met de MIME-standaard. Het betekent dat dezelfde kopie van het bericht verschillend kan worden weergegeven, afhankelijk van de mogelijkheden van de e-mailclient of / en ingeschakelde modi (tekst versus HTML-modus). Standaard gebruiken de meeste moderne e-mailclients HTML om berichten weer te geven. Als het gaat om HTML en URL herschrijven, houd er dan rekening mee dat standaard e-mailgateway alleen URL's herschrijft die zich in het href-kenmerk van het A-tag-element bevinden. In veel gevallen is dat niet genoeg en moet het worden overwogen om zowel href als tekst te herschrijven met WEBSECURITYADVANCECONFIG-opdracht.  Onthoud dat dit een opdracht op machineniveau is en voor consistentie in het hele cluster moet de wijziging afzonderlijk op elk van de clusterleden worden toegepast.