Alternate Data Stream
Alternate Data Stream (ADS) :
Flux de données additionnels, pour être plus french
Mais qu'est-ce que c'est qu'un flux de données.
Un flux de données est une séquence infinie d’éléments générés de façon continue à un rythme rapide.
C'est donc un ensemble d'informations circulant d'un point à un autre et dans un but précis.
L'ADS vient se greffer sur le fichier pour utiliser ces métadonnées.
Uniquement sur NTFS*, l'action subtile et efficace opère sans soucis.
Un ADS est un fichier, un dossier qui utilise le flux d'un autre dossier/fichier et il a pour but de se rendre invisible.
(*NTFS : Système de fichiers développé par Microsoft pour les versions NT, donc de Xp à W10.
C'est une amélioration de Windows sur la rapidité, une meilleur gestion de la mémoire, la possibilité de gérer les ACL, en quelque sorte c'est un support amélioré des métadonnées.)
Certains malwares utilisent cette option de Windows pour tromper et se dissimuler.
Nous avons des outils qui nous permettent de vérifier ces ADS et heureusement pour nous, les ADS de Windows sont généralement intégrés dans les listes blanches des outils d'analyse.
Ces listes blanches déterminent les fichiers, dossiers légitimes, donc cela limite les flux remontés par les outils d'analyse.
En désinfection, il faut vérifier si l'ADS est identifié et lié à des logiciels légitimes (antivirus, applications Microsoft ou multimédia, messagerie, ...).
Tout ADS "temporaire" peut être nettoyé.
La création d'un ADS est plutôt facile à exécuter.
Il ne faut pas de grande connaissance technique et vous allez voir, c'est très facile.
Pour mieux comprendre nous allons faire un petit test.
- Créez sur votre Bureau un fichier texte et nommez-le Fable .
- Copier le texte ci-dessous dans ce nouveau fichier.
LE CORBEAU ET LE RENARD
Maître Corbeau, sur un arbre perché,
Tenait en son bec un fromage.
Maître Renard, par l'odeur alléché,
Lui tint à peu près ce langage :
Et bonjour, Monsieur du Corbeau,
Que vous êtes joli ! que vous me semblez beau !
Sans mentir, si votre ramage
Se rapporte à votre plumage,
Vous êtes le Phénix des hôtes de ces bois.
À ces mots le Corbeau ne se sent pas de joie,
Et pour montrer sa belle voix,
Il ouvre un large bec, laisse tomber sa proie.
Le Renard s'en saisit, et dit : Mon bon Monsieur,
Apprenez que tout flatteur
Vit aux dépens de celui qui l'écoute.
Cette leçon vaut bien un fromage sans doute.
Le Corbeau honteux et confus
Jura, mais un peu tard, qu'on ne l'y prendrait plus.
Regardez et observez la taille de notre fichier (clique droit sur le fichier puis sélectionnez propriétés).
Ouvrez votre console de MS-DOS
- Pour Windows 10, cliquez (clique droit) sur le menu Windows (
), sélectionnez Rechercher et saisissez ► cmd, faites un clique droit sur cmd et sélectionnez Exécuter en tant qu'administrateur.
- Pour Windows 8.1, cliquez (clique droit) sur le menu Windows (), sélectionnez Rechercher (ou Depuis votre Bureau, touche de votre clavier + F ) et saisissez ► cmd, faites un clique droit sur cmd et sélectionnez Exécuter en tant qu'administrateur.
- Pour Windows 8, depuis votre Bureau, cliquez (clique droit) en bas à gauche de votre écran et sélectionnez Rechercher, ou touche de votre clavier + F et saisissez ► cmd, faites un clique droit sur cmd et sélectionnez Exécuter en tant qu'administrateur.
- Pour Windows 7, depuis votre Bureau, cliquez sur votre menu Démarrer et saisissez ► cmd, faites un clique droit sur cmd et sélectionnez Exécuter en tant qu'administrateur.
- Copier et coller cette commande dans l'invite de commande.
Elle va nous permettre d'exécuter les commandes au bon endroit soit, sur votre Bureau.
cd %userprofile%\Desktop
- Nous allons créer notre flux de données cachées. Nous allons dans cette commande écrire dans notre flux dans un fichier invisible qui se nomme ici Code.txt et à l'intérieur nous allons lui mettre en première ligne Code d'identification :
echo Code d'identification : > Fable.txt:Code.txt
- Maintenant nous allons ouvrir ces données cachées.
notepad Fable.txt:Code.txt
- Ajoutons nos codes :
(pour l'exemple les X représentent vos identifiants et vos mot de passe et url de connexion)
- Fermez et enregistrez les modifications.
- Vous pouvez remarquer que la taille du fichier Fable.txt est toujours la même.
- Et voilà vous avez créé votre ADS !
- Pour ouvrir à nouveau ce flux, passer par l'invite de commande et saisissez cette commande.
notepad Fable.txt:Code.txt
- Alors comment vérifier ces flux ? Et bien pour cela, rien de plus simple.
- Entrez dans votre invite de commandes la ligne ci-dessous.
Dir /r Fable.txt
Vous pourriez utiliser la commande seulement avec le commutateur, comme ceci :
Dir /r
- Le commutateur /r vous permet d'afficher les flux de données alternatifs du fichier.
- Vous désirez supprimer ce flux de données additionnels, pour cela il faut utiliser un outil qui permet cette action.
- Vous pouvez recopier le contenu du fichier (dans notre exemple Fable.txt) et le coller dans un autre fichier et supprimer votre fichier, ainsi les flux associés seront également supprimés.
Le Forum assiste.com nous signale ceci :
Suite à différents tests, en effet il n'est pas ou plus possibilite d'exécuter cet ADS depuis l'invite de commande.À partir de Windows 7, Microsoft a eu une excellente initiative, sans en parler : pour des raisons évidentes de sécurité, Microsoft a retiré toute possibilité d'exécuter quoi que ce soit qui se trouve en ADS. Dans cet exercice de création d'un ADS, et jusqu'à Windows Vista, il était possible d'exécuter du code caché dans un ADS.
Nous allons voir dans ce sujet le refus de Windows et comment le contourner.
Nous allons donc utiliser la commande Type.
Disons que nous voulons exécuter cmd.exe à l'ouverture d'un fichier texte.
Il faut saisir pour commencer cette commande, afin de créer l'ADS.
Selon vos droits sur votre machine il faudra ou pas valider la création du fichier texte.
Sinon vous pouvez créer ce fichier (ADScmd.txt) sur votre Bureau avant de lancer la commande.
Code : Tout sélectionner
type %SystemRoot%\system32\cmd.exe > C:\Users\Amesam\Desktop\ADScmd.txt:cmd.exeNous allons vérifier si notre ADS est bien créé.
Pour cela étant donné que notre fichier ADScmd.txt est sur notre Bureau, il nous faut utiliser la bonne commande qui va nous permettre simplement de vérifier si notre flux est créé sur ce fichier..
Soit :
Code : Tout sélectionner
DIR /r C:\Users\Amesam\DesktopFaites le constat que tout est ok pour notre ADS.
Jusqu'ici tout va bien ! Maintenant si nous demandons à Windows 7 et supérieur d'exécuter cette commande, nous avons ce résultat.
Code : Tout sélectionner
start C:\Users\Amesam\Desktop\ADScmd.txt:cmd.exe
Windows nous dit ne pas trouver l'ADS du fichier, alors qu'il est bien présent.
Si vous faites le test avec une image par exemple, vous pourrez vous apercevoir que votre flux s'affiche bien.
Code : Tout sélectionner
type C:\Users\Amesam\Desktop\P_20180225_092904.jpg > C:\Users\Amesam\Desktop\ADStest.txt:P_20180225_092904.jpg
mspaint C:\Users\Amesam\Desktop\ADStest.txt:P_20180225_092904.jpg
Nous avons demandé que notre ADS soit cmd.exe et Windows refuse de l'exécuter, il nous faut donc utiliser un autre moyen.
Alors comment récupérer ce flux.
Voici pour ça un programme très pratique.
StreamArmor ( logiciel libre de SecurityXploded.com) est un super outil pour traiter ces flux. Interface simple d'utilisation et agréable vous permettant de gérer ce que vous désirez.
- Vous pourrez afficher l'intégralité du contenu du flux sélectionné.
- Vue instantanée 'Snapshot View' pour une identification rapide du flux sélectionné.
- Possibilité de masquer les flux connus, tels que Zone.Identifier et les flux avec une taille nulle.
- Vérifier la présence de malwares dans le flux suspect en utilisant l'un des sites Web en ligne sélectionnez par l'auteur.
- VirusTotal (www.VirusTotal.com)
- ThreatExpert (www.ThreatExpert.com)
- MalwareHash (www.MalwareHash.com)
- Supprimer les flux désirés.
- Vous pouvez générer un rapport HTML avec le résumé du scan ainsi que l'analyse détaillée des menaces.
- La liste des principales catégories de types de fichiers détectées par StreamArmor
http://securityxploded.com a écrit :Type de fichier exécutable (EXE, DLL, SYS, COM, MSI, CLASS)
Type de fichier archive (ZIP, RAR, TAR, GZ, COM)
Type de fichier audio (MP3, WAV, RA, RM, WMA, M3U)
Type de fichier vidéo (WMV, AVI, MPEG, MP4, SWF, DIVX, FLV, DAT, VOB, MOV)
Type de base de données (MS ACCESS)
Type de document (PDF, XML, DOC, RTF, tous les anciens et nouveaux formats MS Office)
Rien de plus normal, puisqu'on exécute un programme depuis un fichier texte via son flux.
Ce fichier peux donc avoir d'autres ADS qui pourrait eux même lancer des actions.
Pour vérifier que notre petit test fonctionne nous allons donc demander à StreamArmor d'exécuter cet ADS.
Validez l'action pour afficher votre flux.
Regardez ou StreamArmor exécute l'ADS (soit cmd.exe) et sous quel nom.
Après avoir fait vos manipulations, n'oubliez pas de supprimer cet ADS test.
- Vous avez besoin d'aide pour analyser vos ADS ? Rejoignez-nous sur le forum.
Besoin d'aide pour l'analyse de votre rapport ? Venez sur le forum Désinfecter votre PC
- Postez vos rapports en utilisant un hébergeur, par exemple : Up2Share, ou pjjoint, ou d'autres comme Tinypic ou cjoint , vous avez le choix !
- Si vous faites ou avez déjà fait une autre demande d'aide sur un forum veuillez le signaler ! Ceci afin d'éviter des erreurs de diagnostiques et des actions qui pourrait être néfastes pour votre ordinateur.
- Si vous faites ou avez déjà fait une autre demande d'aide sur un forum veuillez le signaler ! Ceci afin d'éviter des erreurs de diagnostiques et des actions qui pourrait être néfastes pour votre ordinateur.