comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Alternate Data Stream [ADS] en Windows

  • 2 Respuestas
  • 2110 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado zoro248

  • *
  • Underc0der
  • Mensajes: 242
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« en: Agosto 24, 2015, 11:55:44 pm »
Introducción

Los ADS son flujos de datos adicionales y solo funcionan en sistemas de archivos NTFS (New Technology File System) incluido en sistemas Microsoft Windows que va desde  la version Windows 2000 hasta Windows 10

Los ADS funcionan en esencia como metadatos, es decir informacion extra en un determinado archivo pero mas alla de informacion pueden ocultarse archivos completos dentro de otro, para entenderlo mejor veamos unos ejemplo.

Para la realizacion de la siguientes pruebas se utilizara

Windows 8.1
Windows 7
Windows XP Profesional


Ocultar un archivo .txt dentro de otro .txt

Sistema Utilizado Windows 8.1

Se usara la consola de windows (CMD) para los ejemplos. Para ocultar un informacion extra dentro de una archivo de texto normal se hare de la siguiente manera

1- Se verifica que el archivo .txt a usar funcione de manera normal


2- Se abre un consola de comandos en el mismo directorio del archivo a utilizar y se ejecuta el siguiente linea.

echo “Informacion Confidencial” > ArchivoNormal.txt:oculto.txt


Verificamos con el comando dir que no sea a creado un archivo extra.


3- Lectura del archivo oculto. Desde la consola ejecutamos la siguiente linea

notepad ArchivoNormal.txt:oculto.txt


PD: podemos verificar como el archivo “ArchivoNormal.txt” no esta corrupto de ninguna manera


Ocultar imagenes en archivos .txt


 Sistema Utilizado Windows 7
  No Funciona en Windows 8.1


1- Ahora en dado caso que se requiera ocultar una imagen en un archivo de texto, se realiza lo siguiente

type Paisaje.JPG > Prueba.txt:imgOculta.JPG


2- Eliminamos la imagen original

del Paisaje.JPG


Si usamos el comando “dir” para listar los archivos en el directorio actual no podremos  ver la imagen que acabamos de ocultar y que solo tenemos el archivo Prueba.txt


3- Para poder visualizar la imagen usaremos escribiremos lo siguiente

mspaint Prueba.txt:imgOculta.JPG


 
Ocultar .exe en archivos de .txt


    Sistema Utilizado Windows XP Profesional
    Consola sin privilegios de administrador


En lo que se refiere a archivos ejecutables, la comodida se quedo en Windows XP ya que desde Windows 7 (Aplica los mismo que a Vista… quiero suponer) la implementacion no se puede realizar, por ende veamos primero como funciona en Windows XP

1 – Para ocultar un archivo .exe en un archivo de .txt se usara la siguiente linea en la consola de comandos

type calc.exe > Prueba.txt:calc.exe


2- Se eliminar el ejecutable original y de hace un listado de los archivos del directorio y se comprueba que el .exe esta oculto


3- Se ejecuta el .exe oculto en el archivo de texto


Como se ve en los pasos anteriores es relativamente facil ocultar ejecutables en otros archivos, si se quiere aplicar estos pasos en Windows 7 y 8.1 dara un error al paso de querer ejecutar el .exe, ya que marcara como una ruta invalida


Alternativas


 Sistema Windows 7
 No Funciona en Windows 8.1


Se utilizara el comando mklink, que no tiene relacion con los ADS pero es una opcion a la hora de ejecutar el .exe oculto

1- Para ocultar el .exe en el .txt se usa el mismo comando que se ha utilizado anteriormente

type calc.exe > Prueba.txt:cl.txt


2- Al intentar ejecutarlo dara error de no encontrar la ruta (ver segunda imagen anterior), para intentar solucionar eso, se utilizara el comando mklink el cual necesita privilegios de administrador, y la linea a utilizar es la siguiente

mklink CualquierNombre.exe Prueba.txt:cl.exe


3- Ejecucion: Se crea un ejecutable, pero si se ejecuta con doble click da el siguiente error


Se debe ejecutar desde la consola


Este metodo se puede afinar cambiando el icono y demas ingenio que pueda engañar a un usuario incauto, cabe mencionar en en la parte de .exe se puede utilizar para backdorizar un sistema vulnerado (Se vera en otro post).

Contramedidas

Ahora podermos entender el peligros del uso de los ADS, entonces es hora de saber como detectarlos.

1- La forma mas facil y rapida es usando el parametro /r en el comando dir


Podemos distinguirlos con la terminacion $DATA

 2- Una opcion grafica es alternatestreamview, es muy intuitivo, tiene versiones para arquitecturas x32 y x64, lo probe exitosamente en Windows 8.1

Al ejecutarlo pedi un directorio para realizar el escaneo en busca de ADS


El escaneo tardara dependiendo el numero de archivos en el directorio y mostrara los Streams encontrados y asi podras seleccionar y borrar los Streams que quieras


Solo por mencionar otras herramientas de deteccion y borrado de Streams son:

HiJackThist en su opcion de Misc tienen deteccions de Streams

LADS : Se ejecuta en consola

Esto fue sido todo, cualquier duda/error dejen sus comentarios y gracias por leer!

<!– Saludos y Happy Hacking –>

Fuente:

Zorohack.com
« Última modificación: Septiembre 28, 2016, 03:13:53 pm por HATI »

Desconectado alexei.sec

  • *
  • Underc0der
  • Mensajes: 6
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #1 en: Septiembre 07, 2016, 09:23:13 am »
Hola al parecer tus imagenes estan down, podrias repostearlas.

Desconectado zoro248

  • *
  • Underc0der
  • Mensajes: 242
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #2 en: Noviembre 25, 2016, 09:00:46 pm »
En cuanto me desocupe las resubire  :P

 

¿Te gustó el post? COMPARTILO!



Sniffer para windows "RawCap"

Iniciado por s747ik

Respuestas: 1
Vistas: 2221
Último mensaje Junio 12, 2011, 04:08:03 pm
por staRgan
Obtener contraseña (admin) de windows con metasploit usando el módulo phish_windows_credentials

Iniciado por LionSec

Respuestas: 8
Vistas: 3270
Último mensaje Mayo 25, 2015, 02:49:25 pm
por MagoAstral
Usando Javascript para ejecutar tareas en Windows [cmd]

Iniciado por Jimeno

Respuestas: 4
Vistas: 10856
Último mensaje Octubre 12, 2014, 07:10:26 pm
por syskc0
Obtener GUI tras explotar Windows XP con Metasploit y meterpreter

Iniciado por Jimeno

Respuestas: 4
Vistas: 3647
Último mensaje Febrero 16, 2013, 05:41:53 pm
por ANTRAX
Entrar como usuario system a windows xp Videotutorial

Iniciado por arthusu

Respuestas: 0
Vistas: 2216
Último mensaje Mayo 23, 2011, 08:40:31 am
por arthusu