Alternate Data Stream [ADS] en Windows

Iniciado por zoro248, Agosto 24, 2015, 11:55:44 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Agosto 24, 2015, 11:55:44 PM Ultima modificación: Septiembre 28, 2016, 03:13:53 PM por HATI
Introducción

Los ADS son flujos de datos adicionales y solo funcionan en sistemas de archivos NTFS (New Technology File System) incluido en sistemas Microsoft Windows que va desde  la version Windows 2000 hasta Windows 10

Los ADS funcionan en esencia como metadatos, es decir informacion extra en un determinado archivo pero mas alla de informacion pueden ocultarse archivos completos dentro de otro, para entenderlo mejor veamos unos ejemplo.

Para la realizacion de la siguientes pruebas se utilizara

Windows 8.1
Windows 7
Windows XP Profesional

Ocultar un archivo .txt dentro de otro .txt

Sistema Utilizado Windows 8.1

Se usara la consola de windows (CMD) para los ejemplos. Para ocultar un informacion extra dentro de una archivo de texto normal se hare de la siguiente manera

1- Se verifica que el archivo .txt a usar funcione de manera normal


2- Se abre un consola de comandos en el mismo directorio del archivo a utilizar y se ejecuta el siguiente linea.

echo "Informacion Confidencial" > ArchivoNormal.txt:oculto.txt


Verificamos con el comando dir que no sea a creado un archivo extra.


3- Lectura del archivo oculto. Desde la consola ejecutamos la siguiente linea

notepad ArchivoNormal.txt:oculto.txt


PD: podemos verificar como el archivo "ArchivoNormal.txt" no esta corrupto de ninguna manera


Ocultar imagenes en archivos .txt


Sistema Utilizado Windows 7
  No Funciona en Windows 8.1

1- Ahora en dado caso que se requiera ocultar una imagen en un archivo de texto, se realiza lo siguiente

type Paisaje.JPG > Prueba.txt:imgOculta.JPG


2- Eliminamos la imagen original

del Paisaje.JPG


Si usamos el comando "dir" para listar los archivos en el directorio actual no podremos  ver la imagen que acabamos de ocultar y que solo tenemos el archivo Prueba.txt


3- Para poder visualizar la imagen usaremos escribiremos lo siguiente

mspaint Prueba.txt:imgOculta.JPG


Ocultar .exe en archivos de .txt


    Sistema Utilizado Windows XP Profesional
    Consola sin privilegios de administrador

En lo que se refiere a archivos ejecutables, la comodida se quedo en Windows XP ya que desde Windows 7 (Aplica los mismo que a Vista... quiero suponer) la implementacion no se puede realizar, por ende veamos primero como funciona en Windows XP

1 – Para ocultar un archivo .exe en un archivo de .txt se usara la siguiente linea en la consola de comandos

type calc.exe > Prueba.txt:calc.exe


2- Se eliminar el ejecutable original y de hace un listado de los archivos del directorio y se comprueba que el .exe esta oculto


3- Se ejecuta el .exe oculto en el archivo de texto


Como se ve en los pasos anteriores es relativamente facil ocultar ejecutables en otros archivos, si se quiere aplicar estos pasos en Windows 7 y 8.1 dara un error al paso de querer ejecutar el .exe, ya que marcara como una ruta invalida


Alternativas


Sistema Windows 7
No Funciona en Windows 8.1

Se utilizara el comando mklink, que no tiene relacion con los ADS pero es una opcion a la hora de ejecutar el .exe oculto

1- Para ocultar el .exe en el .txt se usa el mismo comando que se ha utilizado anteriormente

type calc.exe > Prueba.txt:cl.txt


2- Al intentar ejecutarlo dara error de no encontrar la ruta (ver segunda imagen anterior), para intentar solucionar eso, se utilizara el comando mklink el cual necesita privilegios de administrador, y la linea a utilizar es la siguiente

mklink CualquierNombre.exe Prueba.txt:cl.exe


3- Ejecucion: Se crea un ejecutable, pero si se ejecuta con doble click da el siguiente error


Se debe ejecutar desde la consola


Este metodo se puede afinar cambiando el icono y demas ingenio que pueda engañar a un usuario incauto, cabe mencionar en en la parte de .exe se puede utilizar para backdorizar un sistema vulnerado (Se vera en otro post).

Contramedidas

Ahora podermos entender el peligros del uso de los ADS, entonces es hora de saber como detectarlos.

1- La forma mas facil y rapida es usando el parametro /r en el comando dir


Podemos distinguirlos con la terminacion $DATA

2- Una opcion grafica es alternatestreamview, es muy intuitivo, tiene versiones para arquitecturas x32 y x64, lo probe exitosamente en Windows 8.1

Al ejecutarlo pedi un directorio para realizar el escaneo en busca de ADS


El escaneo tardara dependiendo el numero de archivos en el directorio y mostrara los Streams encontrados y asi podras seleccionar y borrar los Streams que quieras


Solo por mencionar otras herramientas de deteccion y borrado de Streams son:

No tienes permitido ver los links. Registrarse o Entrar a mi cuentaen su opcion de Misc tienen deteccions de Streams

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta: Se ejecuta en consola

Esto fue sido todo, cualquier duda/error dejen sus comentarios y gracias por leer!

<!– Saludos y Happy Hacking –>

Fuente:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Septiembre 07, 2016, 09:23:13 AM #1
Hola al parecer tus imagenes estan down, podrias repostearlas.
Noviembre 25, 2016, 09:00:46 PM #2
En cuanto me desocupe las resubire  :P
Imprimir
Ir Arriba Páginas1
Acciones del Usuario