Últimamente recibí un archivo adjunto .rtf en mi correo electrónico del trabajo de una cuenta de correo electrónico no confiable.
Sospecho que el atacante está explotando la vulnerabilidad "Microsoft Security Bulletin MS12-029".
¿Cuáles son los pasos recomendados para estudiar este archivo .rtf y aprender el ataque que se usa en él?
Una mirada superficial a la Web no proporciona detalles precisos, pero parece (de lo que se dice en esta página ) que la vulnerabilidad es uno de los sospechosos habituales: desbordamiento de búfer (probablemente en el montón, no en la pila) o acceso libre después.
Entre los posibles métodos de análisis:
Configure dos máquinas virtuales, con accesos externos correctamente filtrados; las dos máquinas deben diferir solo por la versión de Office que contienen (una parcheada, una no parcheada). Toma instantáneas de ambos. Registre los hashes de todos los archivos en ambas máquinas. Abra el archivo en ambos, mientras registra cada intento de tráfico externo. Luego, vea qué ha cambiado en ambas máquinas (vuelva a calcular todos los hashes de archivos, compárelos con las listas anteriores, use las instantáneas para ver qué ha cambiado exactamente en cada archivo).
Abra el archivo RTF con un editor binario (o un editor de texto como vim , no un editor que intentará interpretar el archivo RTF). Decodifique "mentalmente" el archivo con la ayuda de la especificación RTF . Piensa muy duro Un exploit de desbordamiento probablemente aparecerá en el archivo RTF como una estructura de aspecto funky con identificadores extraños demasiado largos o anidación desordenada.
Comuníquese con Microsoft y solicite detalles. Este método funciona mejor si usted es un funcionario del gobierno de un país lo suficientemente grande, o si es muy rico, o ambos.
Lea otras preguntas en las etiquetas reverse-engineering