Je prends 2 minutes pour vous raconter la petite anecdote du matin. Je ne vais pas détailler la situation initiale, simplement l'essentiel. Une machine compromise sous Windows avec SGF NTFS. Un code malveillant logé dans les flux ... bon, jusque là, du grand classique. Sauf que les outils existants se cassaient le nez pour visualiser, extraire, supprimer,... le contenu de l'ADS. L'intrus avait utilisé cette ruse pour stocker et utiliser un outil depuis IIS, une vieille méthode qui hélas... fonctionne encore sur les vieux coucous configurés avec les pieds. Bref, ce cas n'est pas inintéressant alors j'en ai reproduis les conditions dans une archive demo ( sha1: b912d3bfa7b2a2d4dc656bc0061396a81c4f32e5 ) inoffensive.
Extraction de l'archive dans C:
Répertoire de C:\
22/01/2014 22:56 13 website
1 fichier(s) 13 octets
Le fichier "website" est un fichier texte qui contient le mot "DEMONSTRATION".
Ce que donne CatchMe avec l'option -t
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector
Rootkit scan 2014-01-22 22:40:30
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
C:\website:ª_ª 15 bytes
Puis avec Gmer
D'autres outils BSOD également.
Solution la plus simple pour visualiser ?
Avec le "matériel" du bord, Mozilla Firefox.
Dans l'URL, saisir file:///C:/website:%E2%96%A0_%E2%96%A0
Un TAUPE-SECRET s'affiche, c'est le contenu inoffensif stocké dans l'ADS =)