r3dlight
commented
4 months ago Bonjour,
Tous les fichiers transférés sont scannés avec Yara. Dans le premier cas, le pdf match avec Big_Number1 et 3, celà signifie que le pdf contient probablement des suites de nombres qui s'apparentent à de la crypto. Le fichier est donc suspect et supprimé. Le deuxième match avec encore plus de règles qui sont inquiétantes et mérite peut-être réellement de ne pas transiter :)
Si vous pensez vraiment qu'il s'agit de faux-positif, vous pouvez toujours modifier certaines règles Yara ou en ajouter/supprimer à votre convenance.
alain-be
Bonjour,
Lorsque le transfert de fichiers s'effectue, certains sont bloqués. Exemples de fichiers krp indiquant le motif : { "metadata": { "name": "20220901.pdf", "date": "19-June-2024_9-26-10-541515202", "file_type": "application/pdf", "is_valid": false, "report": { "yara": "Big_Numbers1Big_Numbers3", "av": [], "type_allowed": true, "size": 1145313, "corrupted": false, "toobig": false }
ou
{ "metadata": { "name": "CryptolibCPS-5.1.7.exe", "date": "19-June-2024_9-26-18-786504359", "file_type": "application/vnd.microsoft.portable-executable", "is_valid": false, "report": { "yara": "escalate_privscreenshotwin_registrywin_tokenwin_private_profilewin_files_operationBig_Numbers0CRC32_poly_ConstantIsPE32IsWindowsGUIIsPackedHasOverlayHasDigitalSignatureHasRichSignatureNullsoft_PiMP_Stub_SFX", "av": [], "type_allowed": true, "size": 10504992, "corrupted": false, "toobig": false }
Le fichier /etc/keysas/keysas-transit.conf comporte bien pdf et exe en whitelist. Je ne vois pas quel fichier de configuration est à corriger.