<div dir="ltr">Hi, Rmkml-<br>
<br>
Thanks for your submission.  We've added a slightly modified version 
this rule to the community ruleset (SIDs: 38580, 38581).  Rather than 
using within:7; distance:0; I have changed the modifier to depth:7;  
This is because Snort will begin searching at the beginning of a buffer,
 in this case file_data, unless told otherwise (by using 
offset,distance).  Because you are searching for your content match 
relative to the beginning of the file_data buffer, depth:7; is the more 
appropriate modifier.  I hope that's a useful bit of information.  
Thanks again for your contribution.  It is greatly appreciated!  Best,<br>
<br>
Matt Mickel<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Apr 13, 2016 at 4:29 PM, rmkml <span dir="ltr"><<a href="mailto:rmkml@...4129..." target="_blank">rmkml@...4129...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
First, Thx @Sekoya_fr for sharing<br>
<br>
The <a href="http://etplc.org" rel="noreferrer" target="_blank">http://etplc.org</a> open source project offer a new sig for detecting possible Malicious RTF file opened by MS-Office:<br>
<br>
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"WEB-CLIENT RTF Possible malicious MS-Office attempt"; flow:from_server,established;<br>
file_data; content:"{\\rtvpn"; within:7; distance:0; reference:cve,2015-1641;<br>
reference:url,<a href="http://www.sekoia.fr/blog/ms-office-exploit-analysis-cve-2015-1641/" rel="noreferrer" target="_blank">www.sekoia.fr/blog/ms-office-exploit-analysis-cve-2015-1641/</a>;<br>
reference:url,<a href="http://www.decalage.info/rtf_tricks" rel="noreferrer" target="_blank">www.decalage.info/rtf_tricks</a>; classtype:misc-activity;<br>
sid:1; rev:1;)<br>
<br>
See reference for more information.<br>
<br>
Don't forget check variables.<br>
<br>
Please send any comments.<br>
<br>
Regards<br>
@Rmkml<br>
<br>
------------------------------------------------------------------------------<br>
Find and fix application performance issues faster with Applications Manager<br>
Applications Manager provides deep performance insights into multiple tiers of<br>
your business applications. It resolves application problems quickly and<br>
reduces your MTTR. Get your free trial!<br>
<a href="https://ad.doubleclick.net/ddm/clk/302982198;130105516;z" rel="noreferrer" target="_blank">https://ad.doubleclick.net/ddm/clk/302982198;130105516;z</a><br>
_______________________________________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...639...forge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" rel="noreferrer" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
<a href="http://www.snort.org" rel="noreferrer" target="_blank">http://www.snort.org</a><br>
<br>
<br>
Please visit <a href="http://blog.snort.org" rel="noreferrer" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br>
</blockquote></div><br></div>