t1036-002-right-to-left-override

# T1036.002 - Right-to-Left Override ## Descrição O **Right-to-Left Override (RTLO)** é uma subtécnica de [[t1036-masquerading|T1036 - Masquerading]] que abusa do caractere Únicode U+202E para inverter visualmente a ordem de exibição do texto que o segue. Originalmente projetado para suporte a idiomas escritos da direita para a esquerda - como árabe e hebraico - o RTLO pode ser inserido em nomes de arquivos para fazer um executável malicioso parecer um tipo de arquivo inofensivo. O sistema operacional e o sistema de arquivos armazenam e executam o nome real do arquivo (incluindo a extensão verdadeira), enquanto os interpretadores visuais - como o Windows Explorer, o macOS Finder, clientes de e-mail e aplicativos de chat - exibem o nome invertido após o caractere RTLO, enganando usuários e analistas sobre a natureza do arquivo. ### Exemplo Clássico | Nome real no sistema de arquivos | Exibição visual para o usuário | |----------------------------------|-------------------------------| | `relatorio‮fdp.exe` | `relatorioexe.pdf` | | `photo_high_re‮gnp.js` | `photo_high_resj.png` | | `March 25 ‮xcod.scr` | `March 25 rcs.docx` | | `fatura‮gpj.bat` | `faturajpg.bat` ← nota: `.bat` exibido como extensão "jpg" invertida | > O caractere U+202E não é visível - é um caractere de controle. A representação `‮` acima é apenas para fins didáticos. Essa técnica é especialmente eficaz em ataques de [[t1566-001-spearphishing-attachment|Spearphishing com Anexo]] porque engana tanto o usuário final quanto ferramentas de defesa que inspecionam visualmente extensões sem tratar o RTLO explicitamente. > **Técnica pai:** [[t1036-masquerading|T1036 - Masquerading]] > **Frequentemente combinada com:** [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]], [[t1204-002-malicious-file|T1204.002 - Malicious File]], [[t1027-obfuscated-files|T1027 - Obfuscated Files or Information]] --- ## Como Funciona ### O Caractere RTLO (U+202E) O Únicode define caracteres de controle bidirecional para suportar texto misto em idiomas LTR (esquerda-para-direita) e RTL (direita-para-esquerda). O `RIGHT-TO-LEFT OVERRIDE` (U+202E) força todos os caracteres subsequentes a serem exibidos em ordem reversa até que um caractere `POP DIRECTIONAL FORMATTING` (U+202C) sejá encontrado ou o contexto termine. No contexto de nomes de arquivos: 1. O adversário constrói um nome como: `documento_importante[U+202E]exe.pdf` 2. O sistema exibe: `documento_importantepdf.exe` ← INVERTIDO após o RTLO 3. O usuário vê o que parece ser um `.pdf`; o sistema operacional executa um `.exe` ### Vetor de Ataque Típico O RTLO é mais comumente usado como preparação para entrega de payload via: - **E-mail com anexo** - O arquivo aparece com extensão de documento no cliente de e-mail - **Mensagens instantâneas** (Telegram, WhatsApp Web, Slack) - Muitos clientes não sanitizam RTLO em nomes de arquivo - **Páginas de download** - Links de download exibem nome com RTLO no atributo `Content-Disposition` - **Registro do Windows** - O `regedit.exe` exibe valores com RTLO invertido, enquanto `reg.exe` não; isso pode esconder entradas maliciosas de persistência de analistas ### Persistência via Registro com RTLO Em contextos de análise forense, um adversário pode criar chaves de registro com RTLO no nome do valor para dificultar a identificação visual de entradas de persistência em ferramentas GUI como o `regedit.exe`. --- ## Attack Flow ```mermaid graph TB A([Adversário prepara payload]) --> B[Cria executável malicioso] B --> C[Insere U+202E no nome do arquivo] C --> D{Extensão aparente para o usuário} D -->|.exe aparece como .pdf| E[Anexo em spearphishing] D -->|.exe aparece como .docx| F[Link em mensagem instantânea] D -->|.js aparece como .png| G[Arquivo em repositório / share] D -->|.bat aparece como .jpg| H[Download via página web] E --> I[Usuário abre o que acredita ser documento] F --> I G --> I H --> I I --> J{Sistema operacional executa extensão REAL} J --> K[Payload executado - .exe / .bat / .js / .scr] K --> L[Defense Evasion bem-sucedido] L --> M[Initial Access / Execution consolidados] M --> N[C2 / Persistência / Lateral Movement] P[Analista inspeciona visualmente] -->|Vê nome invertido| Q[Não detecta extensão real] Q --> R[RTLO também engana defensores] style A fill:#1a1a2e,color:#eee style K fill:#7b2d2d,color:#eee style L fill:#7b2d2d,color:#eee style N fill:#4a0e0e,color:#eee style R fill:#4a0e0e,color:#eee ``` --- ## Exemplos de Uso ### Ferocious Kitten - Spearphishing contra dissidentes iranianos (2011–2021) O [[g0137-ferocious-kitten|Ferocious Kitten]] é um grupo de ameaça iraniano que operou por pelo menos uma década contra cidadãos iranianos e dissidentes no exterior. Em múltiplas campanhas documentadas pela ESET, o grupo utilizou arquivos com RTLO em anexos de e-mail de spearphishing - arquivos `.scr` e `.exe` disfarçados de documentos `.doc` e `.pdf` - direcionados a ativistas e jornalistas. **Técnicas combinadas:** [[t1566-001-spearphishing-attachment|T1566.001]], [[t1204-002-malicious-file|T1204.002]] ### BlackTech - Operações de espionagem no Leste Asiático (2010–presente) O [[g0098-blacktech|BlackTech]], um APT de origem chinesa com foco em Taiwan, Jápão e outros países asiáticos, utilizou RTLO extensivamente em campanhas de espionagem contra empresas de tecnologia e defesa. O grupo entregava backdoors via e-mails corporativos com anexos aparentemente legítimos. Arquivos `.exe` eram nomeados com RTLO para aparentar ser relatórios `.docx` ou planilhas `.xlsx`. ### Ke3chang - APT15, Espionagem Diplomática (2010–presente) O [[g0004-apt15|Ke3chang]] (APT15), ligado à China, é conhecido por operações de espionagem contra ministérios de relações exteriores europeus e latino-americanos, incluindo registros de atividade contra países da América do Sul. O grupo usou RTLO em campanhas de phishing contra alvos diplomáticos, com arquivos `.exe` apresentados como comúnicados oficiais em `.pdf`. **Relevância para o Brasil:** O Ke3chang tem histórico documentado de operações contra entidades governamentais na América Latina, tornando essa técnica relevante para o contexto de [[t1566-001-spearphishing-attachment|spearphishing]] contra o governo brasileiro. ### BRONZE BUTLER - Espionagem industrial jáponesa (2008–presente) O [[g0060-bronze-butler|BRONZE BUTLER]] (também conhecido como Tick) focou em espionagem industrial contra empresas jáponesas e coreanas de tecnologia e manufatura. Em campanhas documentadas pela Secureworks, o grupo entregava payloads via RTLO para contornar filtros de e-mail corporativo que bloqueavam extensões executáveis conhecidas. ### Scarlet Mimic - Operações contra minorais uigures (2009–2015) O [[g0029-scarlet-mimic|Scarlet Mimic]] usou RTLO em campanhas direcionadas a ativistas e organizações de direitos humanos, com arquivos maliciosos disfarçados de documentos de texto e imagens. --- ## Detecção ### Detecção de RTLO em Nomes de Arquivo ```yaml title: Caractere RTLO (U+202E) Detectado em Nome de Arquivo id: c5f4e3d2-9a6b-4c4d-b3f1-a0e7c5d9f8b2 status: stable description: | Detecta criação ou execução de arquivos com o caractere Únicode RTLO (U+202E) no nome, técnica usada para disfarçar extensões de executáveis. references: - https://attack.mitre.org/techniques/T1036/002/ author: RunkIntel daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1036.002 logsource: category: file_event product: windows detection: selection: FileName|contains: "\u202E" condition: selection falsepositives: - Arquivos legítimos em idiomas RTL (árabe, hebraico) em contextos multiculturais - Ferramentas de teste de segurança level: high ``` ### Execução de Processo com RTLO no Nome ```yaml title: Processo Executado com Caractere RTLO no Nome id: d6e5f4a3-0b7c-4d5e-c4f2-b1f8d6e0g9c3 status: stable description: | Detecta execução de processo cujo nome contém o caractere RTLO (U+202E), forte indicador de técnica de masquerading por Right-to-Left Override. references: - https://attack.mitre.org/techniques/T1036/002/ - https://www.eset.com/us/about/newsroom/press-releases/research/ferocious-kitten-apt/ author: RunkIntel daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1036.002 - attack.execution - attack.t1204.002 logsource: category: process_creation product: windows detection: selection: Image|contains: "\u202E" condition: selection falsepositives: - Sistemas com suporte a nomes de arquivo RTL em configurações regionais específicas level: critical ``` ### Fontes de Dados Recomendadas | Fonte | Tipo de Dado | O Que Monitorar | |-------|-------------|-----------------| | Windows Security Event Log | File creation (Sysmon EID 11) | Nome de arquivo com U+202E | | Sysmon | Process creation (EID 1) | Nome de processo com caractere RTLO | | EDR | E-mail attachment analysis | Anexos com RTLO em nome de arquivo | | Gateway de e-mail | Attachment scanner | Bloquear ou alertar para anexos com U+202E | | Proxy web | Download inspection | `Content-Disposition` com RTLO | --- ## Mitigação | ID | Mitigação | Descrição | Prioridade | |----|-----------|-----------|------------| | - | Filtro de RTLO no gateway de e-mail | Configurar regras para bloquear ou quarentenar anexos com U+202E no nome | Alta | | - | Treinamento de usuários | Educar para inspecionar extensões reais em vez de confiar no nome visual; usar "Abrir com" para confirmar tipo | Alta | | - | Habilitar extensões de arquivo no Explorer | No Windows, desabilitar "Ocultar extensões de arquivos conhecidos" elimina parte do engano visual | Alta | | - | EDR com detecção de RTLO | Configurar alerta/bloqueio para execução de processo com nome contendo U+202E | Alta | | - | Filtro de download no proxy | Inspecionar `Content-Disposition` em downloads HTTP/HTTPS | Média | | - | Restrição de execução (AppLocker/Wdac) | Bloquear execução de arquivos em Downloads, Temp e caminhos não autorizados | Média | --- ## Contexto Brasil/LATAM O RTLO é uma técnica de baixo custo e alta eficácia que não requer exploração de vulnerabilidade - apenas abusa de uma funcionalidade legítima do Únicode. Isso a torna especialmente relevante no contexto brasileiro por algumas razões: ### Ambiente Corporativo Brasileiro - **Alta taxa de uso de e-mail corporativo** sem gateways sofisticados de inspeção de anexos. Pequenas e médias empresas (PMEs) - que representam a maior parte do tecido empresarial brasileiro - frequentemente operam com soluções de e-mail básicas que não inspecionam nomes de arquivo com RTLO. - **Cultura de envio de documentos via WhatsApp e Telegram** em contextos profissionais. Essas plataformas não sanitizam RTLO em nomes de arquivo nas versões web e desktop, criando um vetor adicional. - **Extensões de arquivo ocultas no Windows** - O padrão do Windows é ocultar extensões de arquivos conhecidos. Isso agrava o engano do RTLO, pois o usuário sequer vê a extensão "legítima", quanto mais a real. ### Relevância para Espionagem Regional O [[g0004-apt15|Ke3chang]] (APT15) tem histórico documentado de operações contra entidades governamentais latino-americanas. Dado o papel do Brasil em fóruns internacionais (G20, BRICS, ONU) e a relevância de sua diplomacia regional, arquivos com RTLO disfarçados de comúnicados diplomáticos representam um risco real para o Itamaraty e órgãos governamentais. > [!danger] Alerta - Vetor de Phishing Subestimado > Campanhas de phishing direcionadas a executivos brasileiros frequentemente enviam documentos em português com nomes plausíveis. A inserção de RTLO converte um `.exe` em aparente `.pdf` ou `.docx` sem necessidade de qualquer exploração técnica adicional. Esse vetor é subestimado em treinamentos de conscientização no Brasil. ### Recomendações Específicas para o Brasil - Incluir demonstração de RTLO em treinamentos de phishing simulation (ex: campanhas via GoPhish, KnowBe4) - Configurar regras Sigma/Sysmon no SIEM para alertar sobre U+202E em eventos de processo - Auditar configurações de gateway de e-mail (SEG) para bloqueio de RTLO em anexos - Verificar configurações do Windows nos endpoints: extensões de arquivo devem estar visíveis --- ## Referências - [MITRE ATT&CK - T1036.002](https://attack.mitre.org/techniques/T1036/002/) - [ESET - Ferocious Kitten: 6 Years of Covert Surveillance (2021)](https://www.welivesecurity.com/2021/05/26/ferocious-kitten-6-years-covert-surveillance-irans-dissidents/) - [Secureworks - BRONZE BUTLER / Tick (2019)](https://www.secureworks.com/research/bronze-butler-targets-jápanese-businesses) - [Palo Alto Unit 42 - Ke3chang / APT15 (2019)](https://unit42.paloaltonetworks.com/historical-tracking-of-apt15-ke3chang/) - [Únicode Consortium - Bidirectional Algorithm](https://www.únicode.org/reports/tr9/) - [[t1036-masquerading|T1036 - Masquerading]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1027-obfuscated-files|T1027 - Obfuscated Files or Information]] - [[g0137-ferocious-kitten|Ferocious Kitten]] - [[g0098-blacktech|BlackTech]] - [[g0004-apt15|Ke3chang]]