Rich Text Format (RTF) Specification Version 1.9.1(微软的RTF标准文件,不看你还想研究什么)
https://www.microsoft.com/downloads/details.aspx?familyid=DD422B8D-FF06-4207-B476-6B5396A18A2B&displaylang=en
[翻译]RTF恶意软件如何躲避基于特征的静态检测(讲解了特征和方法)
https://bbs.pediy.com/thread-224222.htm
分析“新”RTF恶意软件混淆方法(讲解了特征和方法)
https://furoner.wordpress.com/2017/07/06/analysis-of-new-rtf-malware-obfuscation-method/
RTF 弊端 :开发,规避应对措施(写了一些攻防的方法,介绍了一些工具)
https://sector.ca/wp-content/uploads/presentations16/Greene ATI_RTF_ABUSE.pdf
RTF在线文档,记录一些数据结构和作用(研究必看)
http://rtf2latex2e.sourceforge.net/index.html
正义格式(讲解了一些策略和混淆方法)
https://www.botconf.eu/wp-content/uploads/2017/12/2017-AnthonyKasza-Formatting-for-justice.pdf
在RTF和OLE2之间
地点:分析
CVE-2012-0158样品(讲解了一些分析策略和混淆)
https://www.virusbulletin.com/uploads/pdf/conference/vb2013/Baccas-VB2013.pdf
面向RTF的OLE对象分析研究(中文学报可以用来熟悉一下RTF格式和OLE对象)
http://www.infocomm-journal.com/cjnis/CN/article/downloadArticleFile.do?attachType=PDF&id=156911
恶意软件输送秘密:RTF OBFUSCATION(讲解了一些混淆策略)
https://www.ixiacom.com/company/blog/malware-delivery-secrets-rtf-obfuscation
处理混淆的RTF文件(分析了一个混淆样本)
https://isc.sans.edu/forums/diary/Dealing+with+obfuscated+RTF+files/23169/
这位作者好像专门研究RTF的东西,具体内容没理解
https://gist.github.com/mint177/8338f33783e77702eec497d94c021e6d
消失的字节:逆向分析MS Office RTF解析器(卡巴斯基的分析策略,写得很好,开拓了一种新思路)
https://securelist.com/disappearing-bytes/84017/
恶意软件分析:最后的边界(写得非常不错,讲解了几种分析策略和混淆)
http://malwageddon.blogspot.com/2018/11/deobfuscation-tips-rtf-files.html
剖析RTF文件中的Anti-Analysis技术(写得不错)
https://www.freebuf.com/articles/terminal/102018.html
新的Remcos RAT变种通过利用CVE-2017-11882进行传播(样本分析)
https://www.fortinet.com/blog/threat-research/new-remcos-rat-variant-is-spreading-by-exploiting-cve-2017-11882.html
Office 0day(CVE-2018-0802与2017-11882)漏洞分析与利用(漏洞样本分析)
https://bbs.pediy.com/thread-229717.htm
Microsoft Office内存损坏漏洞(CVE-2017-11882)实战(漏洞样本分析)
https://www.freebuf.com/vuls/161753.html
垃圾邮件浪潮使用RTF漏洞,提供特洛伊木马程序(样本分析)
https://forums.juniper.net/t5/Threat-Research/Wave-of-Spam-Uses-RTF-Exploit-Delivers-a-Trojan-Spyware/ba-p/320467
RTF中的反分析技巧
https://www.decalage.info/rtf_tricks(混淆)
CVE-2017-0199的内幕 - HTA和Scriptlet文件处理程序漏洞(混淆的样本分析)
https://www.fortinet.com/blog/threat-research/an-inside-look-at-cve-2017-0199-hta-and-scriptlet-file-handler-vulnerability.html
是1937CN还是OceanLotus或Lazarus(样本分析)
https://tradahacking.vn/là-1937cn-hay-oceanlotus-hay-lazarus-6ca15fe1b241
利用了Office公式编辑器特殊处理逻辑的最新免杀技术分析(360团队捕获的免杀样本分析,给我们提供了另一种思路)
https://paper.seebug.org/699/
总结:
我总结一下自己最近学习的心得给大家参考,本人菜鸟一个,可能有说得不对的地方往大家指出
1.获取最新的FUD样本分析模仿(抄就对了,手动狗头)
2.学习RTF格式,做模糊处理
3.逆向杀软的分析RTF文件的流程和方法(这里杀软很多可能是参考一些开源的解析工具做的策略分析,也可以通过分析这种开源解析工具的分析策略来学习,比如:oletools https://github.com/decalage2/oletools/wiki/rtfobj)
4.逆向office文档解析RTF的流程(如上面的卡巴斯基策略分析篇,360篇)
5.twitter 也是个好工具,多搜索,很多外国大神,也能获取较新的 样本
本人水平有限,只能提供一些小小的思路供大家学习,真正的攻防是千变万化的,想要做到真正的FUD还是得靠多多学习
511
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
