– root@injetionsec:~#

[introdução] Alternate Data Stream – ADS, arquivos ocultos

25.11.2013 (1:26 pm) – Filed under: Forense ::

Vamos dar uma introdução nesse post do Alternate Data Stream – ADS , onde essa técnica é usada  em rootkits, este recurso (é do próprio file system)  e foram introduzidos no sistema de arquivos NTFS do Windows a partir de Windows NT 3.1. Este recurso não está bem documentado ea maioria dos usuários, incluindo os desenvolvedores não tem consciência disso.

Muitos aplicativos usam ADS para armazenar atributos de um arquivo em si. Por exemplo, se criarmos um documento do Word como a imagem abaixo

98i7uyg

Vemos um resumo que contém as informações de metadados,sobre os dados contidos no arquivo. Os metadados inclui o autor do documento, contagem de palavras,  e assim por diante. Esta informação resumo é anexado ao arquivo via ADS.

“Quando você lê o conteúdo de um arquivo em um volume não-NTFS você é capaz de acessar apenas um fluxo de dados. Conseqüentemente, você não vê o  verdadeiro e conteúdo “original” desse arquivo. Tal fluxo principal não tem nome e é o único que um sistema de arquivos NTFS não pode manipular. No entanto, quando você cria um arquivo em um volume NTFS, as coisas podem ser diferentes. “, abaixo vemos a estrutura de um arquivo multi-stream

78767pod

Algumas coisas que devemos saber do ADS

  •  Não há limite para o tamanho dos fluxos e pode haver mais do que uma sequência ligada a um arquivo normal. ADS não são visíveis no Explorer ou via linha de comandos, seu tamanho também não é relatada pelo Windows!
  • Streams pode ser anexado não só para os arquivos, mas também para pastas e unidades!
  • O conteúdo de uma ADS não deve ser considerado limitado a simplesmente dados de texto.
  • São usados em  anti-spyware/malware.
  • Proteção de arquivos do Windows impede a substituição de arquivos protegidos do sistema, mas isso não impede que um usuário com as permissões apropriadas de adicionar ADS aos arquivos do sistema. O System File Checker (sfc.exe) irá verificar se os arquivos protegidos do sistema não foram substituídos, mas não irá detectar ADS.
  • Microsoft Windows não fornece ferramentas ou utilitários  para detectar a presença de ADS.
  • Os arquivos contendo ADS pode ser enviado através de uma rede local desde que a unidade de destino está no formato NTFS.
  • Em certos casos, os fluxos são usadas para explorar servidores remotos web.Se um script do lado do servidor, como PHP ou ASP é executado em um servidor web que não é corrigido corretamente, o codigo-fonte do arquivo ASP / PHP pode ser visto usando uma URL como esta: http://www.xyzw.org/index.asp::$DATA

Essa é uma vulnerabilidade crítica de código-fonte do lado do servidor poderia revelar informações sensíveis, incluindo como o site foi codificado e como a informação estão ocorrendo. Esta informação pode ser usada pelo atacante para lançar um ataque específico no servidor.

No próximo post de ADS vamos ver algumas técnicas de como usar -lo ,veja aqui