Herramientas para análisis forense de archivos Microsoft Office
Oletools es un conjunto de herramientas escritas en Python para analizar archivos Microsoft OLE2. ( también llamados de almacenamiento estructurado o archivo compuesto de formato binario) y documentos de Micorsoft Office. Permitiendo realizar: análisis de malware, análisis forense y depuración.
Oletools esta compuesto por:
- Olebrowse: Una interfaz gráfica de usuario sencilla para examinar archivos OLE (por ejemplo, MS Word, Excel, documentos de Powerpoint), para ver y extraer flujos de datos individuales.
- Oleid: Es un script para analizar archivos OLE tales como documentos de MS Office (por ejemplo, Word, Excel), para detectar características específicas normalmente encontradas en archivos maliciosos (por ejemplo, malware). Puede detectar macros VBA y objetos Flash incorporados.
- Olemeta: Es un script para analizar archivos OLE, para extraer todas las propiedades estándar presentes en el archivo OLE (metadatos).
- Oletimes: Es un script para analizar archivos OLE, para extraer los tiempos de creación y modificación de todos los flujos y almacenes en el archivo OLE.
- Oledir: Es un script para mostrar todas las entradas de directorio de un archivo OLE, incluyendo entradas libres y huérfanas. Puede utilizarse como una herramienta de línea de comandos o como un módulo Python con sus propias aplicaciones.
- Olemap: Es un script para mostrar un mapa de todos los sectores en un archivo OLE. Puede utilizarse como una herramienta de línea de comandos o como un módulo Python con sus propias aplicaciones.
- Olevba: Es un script para analizar archivos OLE y OpenXML tales como documentos de MS Office (por ejemplo, Word, Excel), para detectar macros VBA, extraer su código fuente en texto claro y detectar patrones relacionados con la seguridad como: macros auto-ejecutables, VBA sospechosos, palabras clave utilizadas por el malware, técnicas anti-sandboxing y anti-virtualización y posibles IOCs (direcciones IP, URL, nombres de archivos ejecutables, etc.).También detecta y decodifica varios métodos de ofuscación comunes incluyendo codificación Hex, StrReverse, Base64, Dridex, expresiones VBA y extrae IOCs de cadenasdecodificadas . Puede utilizarse como una herramienta de línea de comandos o como un módulo Python con sus propias aplicaciones.
- Mraptor(MacroRaptor): Es una herramienta diseñada para detectar la mayoría de las macros VBA maliciosas usando una técnica heurística genérica. A diferencia de los motores antivirus, no depende de las firmas. En pocas palabras, mraptor detecta las palabras clave correspondientes a los tres siguientes tipos de comportamiento que están presentes en texto claro en casi cualquier programa malicioso de macros: desencadenador de ejecución automática, escribir en el sistema de archivos o en la memoria y ejecutar un archivo o cualquier carga fuera del contexto de VBA.
- Pyxswf: Es un script para detectar, extraer y analizar objetos Flash (archivos SWF) que pueden estar incrustados en archivos como documentos de MS Office (por ejemplo, Word, Excel), lo que es especialmente útil para el análisis de malware. Puede extraer flujos de documentos de MS Office analizando su estructura OLE correctamente, lo que es necesario cuando los flujos están fragmentados. La fragmentación en Flash es una técnica de ofuscación conocida. También puede extraer objetos Flash de documentos RTF, analizando objetos incrustados codificados en formato hexadecimal (opción -f).
- Oleobj: Es un script para extraer objetos incrustados de archivos OLE. Puede utilizarse como una herramienta de línea de comandos o como un módulo Python con sus propias aplicaciones.
- Rtfobj: Es un módulo de Python para detectar y extraer objetos incrustados almacenados en archivos RTF, como objetos OLE. También puede detectar objetos de paquete OLE y extraer los archivos incrustados. Contiene un analizador de RTF personalizado que ha sido diseñado para comprender el comportamiento de MS Word, con el fin de manejar los archivos RTF ofuscados.
Las Oletools son utilizadas por una serie de proyectos y servicios de análisis de malware en línea, incluyendo: Viper, REMnux, Hybrid-analysis.com, Joe Sandbox, Deepviz, Laika BOSS, Cuckoo Sandbox, Anlyz.io, ViperMonkey, pcodedmp, dridex.malwareconfig.com y VirusTotal.
Más información y descarga de Oletools:
https://github.com/decalage2/oletools
Fue originalmente publicado en: Gurudelainformatica.es