NTFS Alternate Data Stream ADS

¡Buenas tardes hacker!

Hoy vas a ver NTFS Alternate Data Stream (ADS), técnica utilizada para ocultar información y programas dentro de un sistema.

Pero ¿para qué sirve ocultar archivos dentro de otros? pues para proteger archivos que quieras que permanezcan ocultos, evitando así que herramientas como los antivirus o anti-malware puedan detectarlos, aislarlos y/o eliminarlo.

NTFS Alternate Data Stream ADS

NTFS (New Technology File System): Es un sistema de archivos desarrollado por Microsoft, lanzado por primera vez en julio de 1993, para dar solución a las limitaciones del sistema de archivos FAT32.

NTFS Alternate Data Stream: es un flujo oculto de Windows que contiene metadatos para el archivo, como atributos, recuento de palabras, autor, nombre y acceso, y tiempo de modificación de las líneas.

ADS (Alternate Data Stream): es la capacidad de bifurcar los datos en los archivos existentes sin cambiar o alterar su funcionalidad, tamaño o visualización a las utilidades de navegación del archivo. Esto permite inyectar código malicioso en los archivos de un sistema y ejecutarlo sin ser detectado. También permite la ocultación de rootkits o herramientas de hacking en un sistema comprometido, permitiendo ejecutarlas mientras permanecen ocultas del usuario.

Conociendo ADS 

En este apartado voy a introducirte cómo funcionan los NTFS streams y verás cómo ocultar un fichero dentro de otro, modificarlo y volver a extraerlo.  

Crea un archivo llamado textfile.txt 

notepad textfile.txt

Cuando se abra Notepad, escribe "Archivo de texto normal", guarda y cierra el archivo.

​Verifica el tamaño del archivo:

dir textfile.txt

 Ahora vas a utilizar el flujo de datos alternativos para ocultar otro archivo dentro de textfile.txt.

notepad textfile.txt:hiddenfile.txt

Cuando se abra Notepad, escribe "Archivo de texto oculto", guarda y cierra el archivo.

Para comprobar el tamaño del archivo textfile.txt y cuántos documentos hay en el directorio utiliza el comando:

dir

Como podrás comprobar, el tamaño del archivo no ha variado, es decir, ha permanecido en 23 bytes a pesar de haber ocultado otro archivo de texto dentro de este. Además, solo aparece un archivo cuando se listan los documentos del directorio en vez de dos.

Para mostrar los archivos ocultos mediante ADS solo hay que utilizar el "/r":

dir /r

Para abrir el fichero y modificarlo, únicamente tienes que escribir:

notepad textfile.txt:hiddenfile.txt

 Para extraer el fichero utiliza el comando:

expand textfile.txt:hiddenfile.txt extractedhiddenfile.txt

Creación, ocultación y ejecución de un VBScripts 

En este apartado vas a ver cómo crear un pequeño e inocente VBScript (Visual Basic Scripting). Para ello vas a abrir el notepad y a escribir msgbox "Hack by Security", guárdalo y ciérralo.

Oculta el vbscript dentro del archivo de texto con el comando:

type script.vbs > textfile.txt:script.vbs
​
dir

Comprueba la ejecución del comando y verifica el tamaño de los archivos:

dir /r

Por último, ejecuta el script con el comando:

csript "textfile.txt:script.vbs"

Cómo podrás observar, saldrá una pestaña con la frase Hack by Security

Esta metodología puede usarse para ocultar todo tipo de archivos en todo tipo de archivos, algo que hace que los NTFS stream sean algo realmente peligroso.

Hasta aquí el post de hoy sobre ADS. Espero que te haya gustado y recuerda, utilízalo para aumentar tus conocimientos, no para hacer el mal.

Muchas gracias hacker ¡hasta la próxima!

Artículo escrito por:

CIO & DPO de Hack by Security