No és una funcionalidad nueva, pero creo que vale la pena comentarla aunque sea por encima.
El Alternate Data Stream se introdujo dentro del sistema de ficheros NTFS para dotarle de compatibilidad con "Macintosh Hierarchical File System", el sistema de ficheros de Mac.
Su utilidad reside en dar metainformación a un fichero. Sin embargo, la familia Windows proporciona herramientas muy simples para crear los ADS's pero ninguna para detectarlos. Esto unido a que se puede incluir como metainformación cualquier tipo de información provoca que esta utilidad sea una manera de entrar al sistema de virus, rootkits, etc...
Para crear un ADS simple, podemos utilizar el comando:
C:ADS>echo este es un texto de prueba > fichero.txt:oculto
A partir de aquí, para recuperar el contenido del ADS:
more < fichero.txt:oculto
Exactamente igual, podremos crear ADS's, que en vez de contener texto, contengan código ejecutable:
C:ADS>type c:\windows\notepad.exe > fichero.txt:np.exe
Y para ejecutarlo basta con:
C:ADS>start fichero.txt:np.exe
Además, podemos apreciar que el tamaño de fichero.txt no varia, con lo que su metainformació pasa totalmente inadvertida.
Por suerte, existen varias herramientas para poder detectar ADS's. En particular el clásico streams.exe de Wininternals, pero es una herramienta engorrosa de manejar. Una herramienta más sencilla fué creada por Frank Keyne y es el programa LADS.EXE Imprescindible para un análisis forense!
Espero que os sea interesante!
Suscribirse a:
Enviar comentarios (Atom)
Entradas
No hay comentarios:
Publicar un comentario