Contacto
< Recursos

> NTFS Alternate Data Stream ADS

¡Buenas tardes hacker!

Hoy vas a ver NTFS Alternate Data Stream (ADS), técnica utilizada para ocultar información y programas dentro de un sistema.

Pero ¿para qué sirve ocultar archivos dentro de otros? pues para proteger archivos que quieras que permanezcan ocultos, evitando así que herramientas como los antivirus o anti-malware puedan detectarlos, aislarlos y/o eliminarlo.

NTFS Alternate Data Stream ADS

NTFS (New Technology File System): Es un sistema de archivos desarrollado por Microsoft, lanzado por primera vez en julio de 1993, para dar solución a las limitaciones del sistema de archivos FAT32.

NTFS Alternate Data Stream: es un flujo oculto de Windows que contiene metadatos para el archivo, como atributos, recuento de palabras, autor, nombre y acceso, y tiempo de modificación de las líneas.

ADS (Alternate Data Stream): es la capacidad de bifurcar los datos en los archivos existentes sin cambiar o alterar su funcionalidad, tamaño o visualización a las utilidades de navegación del archivo. Esto permite inyectar código malicioso en los archivos de un sistema y ejecutarlo sin ser detectado. También permite la ocultación de rootkits o herramientas de hacking en un sistema comprometido, permitiendo ejecutarlas mientras permanecen ocultas del usuario.

Conociendo ADS 

En este apartado voy a introducirte cómo funcionan los NTFS streams y verás cómo ocultar un fichero dentro de otro, modificarlo y volver a extraerlo.  

Crea un archivo llamado textfile.txt 

notepad textfile.txt

Cuando se abra Notepad, escribe «Archivo de texto normal», guarda y cierra el archivo.

​Verifica el tamaño del archivo:

dir textfile.txt

Ahora vas a utilizar el flujo de datos alternativos para ocultar otro archivo dentro de textfile.txt.

notepad textfile.txt:hiddenfile.txt

Cuando se abra Notepad, escribe «Archivo de texto oculto», guarda y cierra el archivo.

Para comprobar el tamaño del archivo textfile.txt y cuántos documentos hay en el directorio utiliza el comando:

dir

Como podrás comprobar, el tamaño del archivo no ha variado, es decir, ha permanecido en 23 bytes a pesar de haber ocultado otro archivo de texto dentro de este. Además, solo aparece un archivo cuando se listan los documentos del directorio en vez de dos.

Para mostrar los archivos ocultos mediante ADS solo hay que utilizar el «/r»:

dir /r

Para abrir el fichero y modificarlo, únicamente tienes que escribir:

notepad textfile.txt:hiddenfile.txt

Para extraer el fichero utiliza el comando:

expand textfile.txt:hiddenfile.txt extractedhiddenfile.txt

Creación, ocultación y ejecución de un VBScripts 

En este apartado vas a ver cómo crear un pequeño e inocente VBScript (Visual Basic Scripting). Para ello vas a abrir el notepad y a escribir msgbox «Hack by Security», guárdalo y ciérralo.

No te olvides de cambiar la extensión del archivo de .txt a .vbs 

Oculta el vbscript dentro del archivo de texto con el comando:

type script.vbs > textfile.txt:script.vbs
​
dir

Comprueba la ejecución del comando y verifica el tamaño de los archivos:

dir /r

Por último, ejecuta el script con el comando:

csript "textfile.txt:script.vbs"

Cómo podrás observar, saldrá una pestaña con la frase Hack by Security

Esta metodología puede usarse para ocultar todo tipo de archivos en todo tipo de archivos, algo que hace que los NTFS stream sean algo realmente peligroso.

Hasta aquí el post de hoy sobre ADS. Espero que te haya gustado y recuerda, utilízalo para aumentar tus conocimientos, no para hacer el mal.

Muchas gracias hacker ¡hasta la próxima!

Artículo escrito por:

Juan Miranda Blitz

CIO & DPO de Hack by Security

Recursos gratuitos en tu email

Sigue leyendo

,

  • Hacking

Otra vuelta al Sol

Otra vuelta al Sol, si ya sé que es un tópico muy repetido, pero cuando trabajas con tecnología, la vida parece que pasa mas rápido, un nuevo descubrimiento, otro avance, un nuevo protocolo o cómo alguien publica que se puede explotar una vulnerabilidad de una manera todavía más creativa.
  • Hardening

Directivas de Seguridad en el Correo con M365

En Hack by Security sabemos que uno de los pilares de la ciberseguridad en entornos modernos es la Seguridad en el Correo, uno de los vectores de ataque más frecuentes de una organización, tanto en empresas pequeñas como grandes multinacionales están expuestas al mismo riesgo, un usuario que abra un enlace o archivo malicioso puede iniciar un incidente de seguridad con un alto impacto.
  • Formación, Hacking

BCDO Bootcamp de Ciberseguridad Defensiva y Ofensiva

El próximo 09 de Octubre en Hack By Security, comienza una nueva edición del Bootcamp de Ciberseguridad Defensiva y Ofensiva, 104 horas de sesiones online en directo, con acceso después a las clases, por si quieres repasar o volver a ver alguna parte de la sesión.
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.