Recentemente ho ricevuto un allegato .rtf sulla mia email di lavoro da un account di posta elettronica non affidabile.
Sospetto che l'autore dell'attacco stia sfruttando la vulnerabilità "Bollettino Microsoft sulla sicurezza MS12-029".
Quali sono i passaggi consigliati per studiare questo file .rtf e imparare l'attacco utilizzato in esso?
Uno sguardo superficiale al Web non fornisce dettagli precisi, ma sembra (da quanto si dice su questa pagina ) che la vulnerabilità è uno dei soliti sospetti: buffer overflow (probabilmente sull'heap, non sullo stack) o access-after-free.
Tra i possibili metodi di analisi:
Imposta due macchine virtuali, con gli accessi esterni correttamente filtrati; le due macchine dovrebbero differire solo dalla versione di Office che contengono (una patch, una non patch). Scatta istantanee di entrambi. Registra gli hash di tutti i file su entrambe le macchine. Apri il file in entrambi, mentre registra ogni tentativo di traffico esterno. Successivamente, vedi cosa è cambiato su entrambe le macchine (ricalcola tutti gli hash dei file, confronta con gli elenchi precedenti, usa le istantanee per vedere cosa esattamente cambiato in ogni file).
Apri il file RTF con un editor binario (o un editor di testo come vim , not un editor che proverà ad interpretare il file RTF). Decodifica "mentalmente" il file con l'aiuto di le specifiche RTF . Pensa molto. Un exploit di overflow verrebbe probabilmente visualizzato nel file RTF come una struttura dall'aspetto originale con identificatori eccessivi o nidificazione eccessiva.
Contatta Microsoft e richiedi i dettagli. Questo metodo funziona meglio se sei un funzionario governativo di un paese abbastanza grande, o sei molto ricco, o entrambi.
Leggi altre domande sui tag reverse-engineering