Page 1 sur 1

Une histoire d'ADS

Publié : 23 janv. 2014 00:24
par ѠOOT
Bonjour,

Je prends 2 minutes pour vous raconter la petite anecdote du matin. Je ne vais pas détailler la situation initiale, simplement l'essentiel. Une machine compromise sous Windows avec SGF NTFS. Un code malveillant logé dans les flux ... bon, jusque là, du grand classique. Sauf que les outils existants se cassaient le nez pour visualiser, extraire, supprimer,... le contenu de l'ADS. L'intrus avait utilisé cette ruse pour stocker et utiliser un outil depuis IIS, une vieille méthode qui hélas... fonctionne encore sur les vieux coucous configurés avec les pieds. Bref, ce cas n'est pas inintéressant alors j'en ai reproduis les conditions dans une archive demo ( sha1: b912d3bfa7b2a2d4dc656bc0061396a81c4f32e5 ) inoffensive.

Extraction de l'archive dans C:

Répertoire de C:\
22/01/2014 22:56 13 website
1 fichier(s) 13 octets

Le fichier "website" est un fichier texte qui contient le mot "DEMONSTRATION".

Ce que donne CatchMe avec l'option -t

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector
Rootkit scan 2014-01-22 22:40:30

scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...

C:\website:ª_ª 15 bytes

Puis avec Gmer

Image

Image

D'autres outils BSOD également.

Solution la plus simple pour visualiser ?
Avec le "matériel" du bord, Mozilla Firefox.

Dans l'URL, saisir file:///C:/website:%E2%96%A0_%E2%96%A0
Un TAUPE-SECRET s'affiche, c'est le contenu inoffensif stocké dans l'ADS =)