- Wagner Elias – Think Security First - http://wagnerelias.com -

Alternate Data Stream

Posted By Elias Wagner On 29 29UTC December, 2005 @ 11:08 am In Diversos,Security Assessment | 1 Comment

Por motivos de compatibilidade o NTFS possui um recurso que pode se tornar uma ameaça facilmente, basta o usuário ser um pouco mais desligado ou inexperiente.

O Recurso é o Alternate Data Stream, com esse recurso um usuário mal intencionado pode “esconder” um trojam, ferramenta ou qualquer outro arquivo em um arquivo de sua confiança. Isso só irá funcionar na maquina onde foi executado, não é possivel um invasor esconder o trojam em um arquivo e enviar para você, mas existe várias maneiras de um invasor executar isso na sua maquina e deixar alguma coisa escondida sem que você perceba.

Eu fiz um teste aqui escondendo o nmap na minha inofensiva calculadora.

[1]
Escondendo o nmap usando o comando type

[2]
Executando o nmap escondido em minha calculadora

Ok, mais certamente meu antívírus irá detectar isso. Não foi o que meus testes apresentaram, eu fiz um scan na minha maquina com o nmap em seu local original o antivírus acusou como uma ferramenta potencialmente perigosa, em seguida eu apaguei o nmap original e passei o antívirus novamente para verificar se ele iria encontrar o nmap que havia escondido na calculadora, não encontrou nada. E o nmap continua escondido e posso utilizar normalmente. Perigoso não?

O Alternate Data Stream tambem é criado quando adicionamos informações a propriedades do arquivo, as ferramentas de detecção ainda tem dificuldades com essa “técnica”, mais a kasperky já usa um stream para guardar informação sobre os scans realizados e já existe ferramentas que possibilitam a identificação de stream em seus arquivos.Chkdsk - http://www.microsoft.com/resources/documentation/
windows/xp/all/proddocs/en-us/chkdsk.mspx

Lads - http://www.heysoft.de/Frames/f_sw_la_de.htm [3]

Streams - http://www.sysinternals.com/utilities/streams.html [4]

Algumas pessoas indicam um tripwire para identificar qualquer iniciativa de stream, eu particularmente não acho viável, porque geralmente usamos o tripwire em arquivos críticos e não em todos os arquivos.Mais informações:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003
/library/TechRef/8cc5891d-bf8e-4164-862d-dac5418c5948.mspx


1 Comment (Open | Close)

1 Comment To "Alternate Data Stream"

#1 Comment By GUimaraes Junior On 9 09UTC September, 2007 @ 11:37 am

MUito bom!
Farei estes testes para analisar esta vulnerabilidade.

att
Guimaraes junior

[5] [5]

Article printed from Wagner Elias – Think Security First: http://wagnerelias.com

URL to article: http://wagnerelias.com/2005/12/29/alternate-data-stream/

URLs in this post:

[1] Image: http://wagnerelias.com/wp-content/uploads/blogger/blogger/202/1295/1600/nmapescond.jpg

[2] Image: http://wagnerelias.com/wp-content/uploads/blogger/blogger/202/1295/1600/nmapstart.jpg

[3] http://www.heysoft.de/Frames/f_sw_la_de.htm: http://www.heysoft.de/Frames/f_sw_la_de.htm

[4] http://www.sysinternals.com/utilities/streams.html: http://www.sysinternals.com/utilities/streams.html

[5] : #

Copyright © 2007 Wagner Elias - Think Security First | BCP, BIA, DRP, Security Assessment, Risk Assessment, Security Developer. All rights reserved.