ClamAV (Clam AntiVirus, https://www.clamav.net/) ist ein frei verfügbares Virenschutzprogramm, welches zusätzlich einen Phishing-Filter besitzt und schon alleine deswegen auf Email-Servern sehr gerne zum Einsatz kommt.
Die Hauptvorteile sind der kostenfreie Bezug da open source, die plattformübergreifende Verfügbarkeit, die einfache Integration in bestehende Systeme, kurzfristige Updates der Ekennungsmuster nach Bekanntwerden von neuen Bedrohungen sowie der geringe Ressourcenbedarf.
Mehrwerte für ClamAV
Open source birgt allerdings noch einen weiteren, sehr großen Vorteil in sich der oftmals übersehen wird: Wenn der Quellcode der eigentlichen Programmlogik frei verfügbar ist, dann gilt dies logischerweise ebenso für den Aufbau der AntiViren-Definitionen, also der Erkennungsmuster.
Und was wäre schon open source, wenn nicht pfiffige Menschen die Idee gehabt hätten, hier selbst Hand anzulegen und zusätzliche Patterns für ClamAV bereitzustellen. Und diese Patterns lassen sich wunderbar in ClamAV und OPNsense integrieren. Ein paar der wichtigsten sind sogar bereits in OPNsense integriert. Unter Services/ClamAV/Settings beim Reiter General ganz nach unten finden sich folgende Einträge, die sich lohnen aktivieren:
In der obigen Abbildung sind es die unteren 4 Punkte. Zur besseren Deutlichmachung des Nutzens habe ich bei diesen den erklärenden Informationstext eingeblendet.
Damit aber noch nicht genug. Bei den Reitern eines weiter auf Signatures gewechselt kann man sogar eigene Patterns hinterlegen. Hier wird es jetzt richtig spannend! Einfach die Suchmaschine der Wahl bemüht und es sollten sich rasch zusätzliche Patterns finden lassen. Ein paar davon will ich im nun folgenden vorstellen.
URLhaus von Abuse.ch
Beginnen will ich mit URLhaus von abuse.ch. Abuse.ch könnte man kennen, die stellen einiges an Listen her. Dort auf Database geklickt, landet man auf folgender Seite: https://urlhaus.abuse.ch/browse/. Zur besseren Erklärung davon habe ich hier einen Screenshot eingefügt:
Das ist also eine Datenbank welche behauptet etwas über 2,6 Millionen Malwalre URLs zu beinhalten (Stand Juli 2023). Mit dabei sind bekannte Vertreter wie Mozi, mirai und weitere. Bei der Anzahl von Einträgen ist das mal wirklich spannend.
Oben auf der Seite, im ersten Absatz oder der Navigation, findet sich der Verweis auf die API. Diese beginnt damit, dass man wählen muss in welchem Format man die Datenbank haben möchte. Hier wählt man natürlich ClamAV aus und kopiert nun den Link vom roten Button „Download ClamAV signature database„: https://urlhaus.abuse.ch/downloads/urlhaus.ndb. Wer will kann da natürlich rein schauen, die Daten sind im Klartext lesbar. Auch wenn die Zeichenkolonen im ersten Augenblick vermutlich eher unverständlich sind.
Zurück zu OPNsense und dem noch offenen Reiter Signatures: Hier einfach auf das +-Zeichen für einen neuen Eintrag klicken, enable wählen, einen beliebigen Titel wie zum Beispiel URLhaus eingeben und zuletzt noch den Link aus der Zwischenablage einfügen.
Und schon findet ClamAV, obwohl er vom Wesen her ein Virenscanner ist, jetzt noch zusätzliche 2,6 Millionen URLs mit Schadsoftware. Spätestens jetzt sollte man sich im Klaren darüber sein, was für ein Potenzial ClamAV besitzt, wenn man ihn zum Beispiel E-Mails nach Bedrohungen oder schlichtweg unerwünschten Inhalten durchsuchen lässt. Es ist einfach nur schade, wenn man diese Möglichkeiten ungenutzt lassen würde.
Zusammengefasst: ClamAV in OPNsense um Patterns zu erweitern: Ein Kinderspiel. Die vordefinierten: Einfach nur ein Haken setzen. Frei wählbare? Aktivieren, einen kurzen Namen eintragen und die URL kopieren. Ebenfalls ein Kinderspiel und rasch erledigt.
Verfügbare Patterns für ClamAV
Natürlich gibt es noch viele mehr außer den bisher erwähnten. Unten angefügt ist eine Liste mit einigen der bekannteren Definitionen für ClamAV. Einige dieser Listen sind frei verfügbar, bei einigen bekommt man gegen Bezahlung zusätzliche Leistungen.
Diese Liste ist alles andere als vollständig. Sollte irgendetwas fehlen oder eine der Listen nicht mehr funktionieren würde ich mich freuen, wenn ihr eine Mail schreibt oder einen entsprechenden Kommentar hinterlasst.
Malware Patrol
Neben vielen anderen nützlichen Helfern bietet Malware Patrol Listen für ClamAV an.
SecuriteInfo.com
4 Millionen Einträge zur Erkennung von Malware, vor allem auch 0-Day-Malware.
Sanesecurity
Seit 2006 erstellt Sanesecurity Addon Patterns für ClamAV für die Emailfilterung: Malware in Makros oder gängigen Zip Formaten, gefährlicher JavaScript Code, Phising und einiges mehr.
Hier fehlt etwas?
Dann hinterlasse einen Kommentar oder schicke eine Mail.
URLhaus
URLhaus von Abuse.ch wurde oben bereits ausführlich erklärt. Es handelt sich um eine Liste mit malicious URLs.
Quellen zu Bildern von Dritten
- Beitragsbild: Pixabay https://pixabay.com/illustrations/coronavirus-corona-virus-covid-19-4833754/
- URLhaus Logo: https://urlhaus.abuse.ch
- Screenshot von URLhaus, Stand 12.7.2023: https://urlhaus.abuse.ch/browse
- Malware Patrol Logo: https://www.malwarepatrol.net/
- Sanesecurtiy Logo: https://sanesecurity.com/
- SecuriteInfo.com Logo: https://www.securiteinfo.com/