Alternate Data Streams (ADS) - Malware

Seguimos hablando de los flujos de datos alternativos (ADS).

Como ya vimos en el post anterior, gracias a esta característica podemos ocultar ficheros dentro de otros ficheros, así que vamos a ocultar un ejecutable que contiene un payload meterpreter.

Vamos al lío!!!

Si recordamos, la sintaxis para referenciar flujos es la siguiente:

fichero[:flujo[:tipo]]

Bien, crearemos un fichero pdf y como flujo añadiremos nuestra meterpreter.
Una vez hayamos creado nuestro flujo (rootkit.exe), levantaremos un handler en la máquina atacante para esperar la conexión, y seguidamente ejecutaremos nuestro flujo.

 Perfecto!!! Como véis yo he utilizado un pdf vacío, sin contenido, por eso tiene un tamaño de 0Kb, pero podemos escoger un pdf cualquiera para que parezca más real y así sentirnos todos unos ninjas...

¿Y si detectamos que tenemos un fichero con malware como flujo de datos?

Pues como ya habíamos dicho en la anterior entrada, los flujos de datos alternativos son una característica del sistema de ficheros NTFS, y si pasamos dicho fichero a un sistema de ficheros FAT32 solamente se copiará el flujo de datos principal, es decir, el fichero sin el malware.

Existen en la red multitud de herramientas para ver y eliminar flujos de datos alternativos, una de ellas es "NTFSExt" de Microsoft, y podéis descargarla desde aquí.

No seáis malos!!!

Saludos.

Refencias:
http://www.rootkitanalytics.com/userland/Exploring-Alternate-Data-Streams.php
http://windowstips.wordpress.com/2007/01/29/alternate-data-streams-ads-que-es-y-como-funciona/

 
**No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**