Metashield Bots: Análisis y limpieza de metadatos para todos desde Telegram, Skype o Slack

Hace no mucho, el laboratorio de ElevenPaths me sorprendió con un proyecto de los suyos que iba a llevar uno de mis productos favoritos, MetaShield, a todos los usuarios de Skype, Telegram o Slack. La idea es bastante sencilla, y a la vez bastante útil y cómoda. Se trata de integrar el motor de limpieza y análisis de metadatos que utiliza MetaShield como un bot de las plataformas Skype, Telegram o Slack.

Figura 1: Metashield Bots: Análisis y limpieza de metadatos para todos desde Telegram, Skype o Slack

El bot se puede invocar y hablar con él para extraer y analizar los metadatos de cualquier documento ofimático, y las únicas limitaciones que tiene son temporales. Es decir, el número de limpiezas que se puede hacer desde una determinada ubicación es de 2 por hora, aunque la integración que hemos hecho con la plataforma de bots permitiría hacer una limpieza de hasta 500 documentos a la hora, pero eso sería para implantaciones empresariales que lo requieran.

Figura 2: MetaShield Bot Skype

El funcionamiento es bastante sencillo, así que hemos grabado estos tres vídeos que explican el proceso de localización del bot en cada una de las plataformas - son bots públicos con los que cualquiera de vosotros puede interactuar -, como hacer el análisis de metadatos de un determinado documento y cómo limpiarlo.

Figura 3: MetaShield Bot Slack

Esto lo presentamos en el pasado Security Day de ElevenPaths, donde también hablamos de Dario - un proyecto que aparece en los vídeos de los bots de MetaShield - que sirve para analizar malware en macros de documentos ofimáticos, pero subiendo solo las partes del documento que son necesarias para ese análisis, lo que ayuda a dotar de más privacidad al documento. Pero eso es otra cosa que os contaremos más adelante.

Figura 4: MetaShield Bot Telegram

El el blog de ElevenPaths tenéis más información de estos tres bots de MetaShield en Skype, Telegram y Slack, y en la web de ElevenPaths tenéis información de todos los productos de la familia MetaShield Protector, incluida la versión de MetaShield Clean-up Online que permite analizar y limpiar metadatos en documentos con un sitio web.

Saludos Malignos!

Metadatos perdidos en archivos de MS Office perdidos

Las aplicaciones de Microsoft Office tienen una opción muy útil de generar una copia autoguardada del fichero con el que se está trabajando por si acaso se produce un error de la aplicación, poder recuperarse. Estos ficheros de autoguardado han ido cambiando con el tiempo, pero todos tienen dos características curiosas: Son en formato binario y conservan todos los metadatos.

Figura 1: Presentaciones PowerPoint en ficheros de autoguardado TMP

Los ficheros originales eran todos con extensión TMP, así que es muy habitual encontrar ficheros con extensión TMP que realmente sean reconocidos como documentos PPT, XLS o DOC. Cuando se busca con Google para hacer Hacking con buscadores, hay que tener en cuenta que con filetype:PPT no van a aparecer, así que hay que buscar esos documentos con extensión TMP.

Figura 2: Archivos EXCEL autoguardados en formato XAR

En el caso de Microsoft Excel, además de los archivos .TMP antiguos, está también el formato XAR. De nuevo se trata de un formato binario, y también conserva todos sus metadatos, información oculta y datos perdidos.

Figura 3: Archivos DOC autoguardados con formato ASD

En el caso de Microsoft Word, dependiendo de la versión que usemos vamos a encontrar ficheros con extensión .ASD o .WBK. No importa si estamos trabajando en Microsoft Office 2007 o superior con ficheros OOXML, en este caso los archivos son binarios también.

Figura 4: Archivos DOC autoguardados en formato WBK

Por supuesto, si bajamos uno de esos archivos y los subimos a la la FOCA Online, podremos ver cómo está lleno de sus metadatos, por lo que si estuviéramos haciendo una auditoría podrían venir de maravilla. Si queremos ver el documento, le cambiamos la extensión a .DOC (formato binario), para ver qué metadatos hay en él.

Figura 5: Análisis con FOCA Online de los metadatos de un archivo autoguardado

En definitiva, que si vas a buscar los metadatos, o hacer un análisis forense digital de los archivos de un sistema, acuérdate no solo de buscar las extensiones más comunes, y dale un vistazo a los TMP, XAR, ASD y WBK que puede que te den algún dato clave en la resolución del caso.

Saludos Malignos!