Artículo: Cómo analizar un archivo Rich Text Format (RTF) para detectar una posible amenaza

Un interesante artículo publicado por nuestros compañeros de welivesecurity.

https://www.welivesecurity.com/la-es/2018/03/15/analisis-archivo-rich-text-format-rtf-detectar-amenaza/

Transcripción literal:

Rich Text Format (RTF) es un formato de archivo informático desarrollado en 1987 por Microsoft que se utiliza para crear todo tipo de documentación. La ventaja que tienen por sobre los archivos DOC o DOCX es que la gran mayoría de los programas de procesamiento de texto pueden abrir los archivos RTF con absoluta compatibilidad. Por esa razón y por su similitud con los otros documentos interpretados por el paquete de Microsoft Office, también son utilizados por los cibercriminales para realizar sus ataques tanto a empresas como a usuarios. De hecho, a lo largo de los años se han encontrado diferentes vulnerabilidades en los RTFque permitían a los atacantes crear exploits para sacar algún tipo de ventaja sobre las víctimas.

Cómo analizar un archivo RTF en busca de una posible amenaza

En esta oportunidad, intentaremos determinar si un archivo RTF es o no una amenaza para nuestro equipo u organización. Para ello, utilizaremos tres herramientas: oletools, oledump.py y rtfdump.py, las cuales fueron desarrolladas para analizar archivos OLE (Object Linking and Embedding), como también archivos del paquete Microsoft Office.

La siguiente captura es de un documento analizado con rftdump.py. Luego de correr la herramienta indicando como parámetro el archivo, en el resultado del análisis se puede observar que se encontró un archivo OLE dentro del documento. Pero esto no dice nada, ya que el contenido podría ser benigno o no.

En una segunda instancia realizamos un nuevo análisis, pero esta vez más detallado, con los parámetros “–s” indicamos que ítem deseamos seleccionar, con –hexdecode y –extract convertimos los caracteres para una fácil apreciación. Esta información es muy útil, ya que la primera secuencia de bytes que nos devuelve la herramienta coincide con los bytes de la cabecera de un archivo OLE.

Luego de confirmar que el archivo RTF contiene un archivo OLE procedemos a extraerlo para realizar un nuevo análisis sobre este último y determinar si el objeto intenta realizar acciones no deseadas en un equipo.

La herramienta Oledump.py nos brinda distinto tipo de información que resulta de mucha ayuda. Al iniciar la herramienta sobre el archivo OLE nos indica que contiene tres ítems. Ahora bien, para poder visualizar el contenido debemos utilizar el parámetro –s seguido del ítem deseado. Tal como se puede apreciar en la captura, el primer resultado contiene una URL, con lo cual, podríamos asumir que el documento RTF intentará descargar y ejecutar un binario.

Otra opción de análisis puede ser mediante el uso de oletools, que cuenta con un módulo llamado rtfobjque tiene la particularidad de que puede ser utilizado como una librería de Python o como una herramienta por línea de comando.

Al ejecutar el script nos devuelve un breve reporte donde nos indica que encontró objetos incrustados en el documento RTF. Como se puede apreciar en la imagen de la captura a continuación, la información obtenida es muy detallada, ya que nos indica que posiblemente se trate de un exploit para una vulnerabilidad determinada. Además, en caso que quisiéramos, podríamos extraer el objeto para luego verificar que lo que nos dice rtfobj es real, tal como se puede ver al final de la captura.

Posteriormente, utilizamos oledump.py y el resultado que obtenemos nos brinda la misma información que vimos con oletools.

Si bien existen distintas metodologías y/o procedimientos para identificar un documento mal intencionado, estas son dos buenas prácticas para obtener información sobre un documento RTF cuya procedencia se desconoce, y de esta manera evitar un ataque a nuestros equipos. Ya que tal como vimos en los ejemplos, dentro de un archivo RTF se puede esconder una amenaza informática.

The following two tabs change content below.
Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC). **Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............ Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.