Fundamentos de la ciberseguridad para profesionales IT

Ocultar información en flujos alternativos de datos

Prueba ahora LinkedIn Learning sin cargo y sin compromiso.

Prueba gratis Mostrar modalidades de suscripción
Los flujos alternativos de datos o ADS son una forma de ocultación de archivos en discos formateados con estructura NTFS utilizando archivos convencionales. Esto permite ocultar malware o exfiltrar información de forma sencilla.

Transcripción

Los flujos de datos alternativos o Alternate Data Streams son subestructuras del sistema de archivos NTFS de Microsoft. Es decir, que en este sistema de arquitectura de ficheros un archivo no se compone solo de sus atributos y de flujos de datos por defecto, sino que puede tener además flujos de datos alternativos. Los flujos de datos alternativos o ADS son invisibles a la mayor parte de aplicaciones que podemos utilizar. El propósito de los ADS es almacenar archivos de forma oculta en otros archivos o incluso directorios, que en NTFS no dejan de ser estructuras de datos. En principio, Windows solo accede a flujos de datos alternativos mediante el comando type o la aplicación Notepad y por defecto no elimina los ADS que podamos crear. Estamos en el escritorio de Windows 10. Y vamos a crear un archivo de texto al que llamaremos "archivo_normal". Podemos escribir en él lo que queramos. Y salimos de la aplicación guardando el contenido. Ahora vamos a crear otro archivo más. Y lo vamos a llamar "archivo_secreto". En este archivo guardaremos información confidencial. Para trabajar de forma más cómoda vamos a crear un directorio, donde vamos a guardar nuestros archivos. Accedemos a la línea de comando de Windows y al directorio que hemos creado. Listamos los archivos. Y ahí los tenemos. Para empezar vamos a calcular el hash o resumen del archivo normal. Para ello podemos recurrir a una herramienta nativa de Windows. Una vez en el directorio System32 de Windows, podemos ejecutar el comando certutil con la opción -hashfile y el directorio donde está almacenado nuestro archivo. Nos muestra el hash del archivo. Ahora vamos a regresar a la carpeta donde estaban los archivos y creamos el flujo de datos alternativo. Para ello ejecutamos el comando type, el nombre del archivo oculto. Y le indicamos que queremos volcarlo sobre el archivo normal pero en un flujo alternativo de datos que llamaremos "secretos.txt". Si volvemos a hacer dir, seguimos teniendo los dos archivos. No aparece nada distinto. De hecho, si nos fijamos en el tamaño del cálculo anterior, teníamos 39 bytes y 53 y seguimos teniendo 39 y 53. Si volvemos a calcular el hash del fichero "archivo_normal", vemos que el hash sigue siendo el mismo: empieza por "bf72" y acaba en "7c07". "bf72", "7c07". Para estar seguros de que no hay trampa ni cartón, podemos borrar el archivo secreto. Podemos ver el contenido de "archivo_normal", que es el texto incluido al principio. Sin embargo, si queremos ver el flujo alternativo de datos asociado a este archivo, debemos volver a la línea de comandos. Volvemos a nuestro directorio. Y ejecutamos. Y ahora nos muestra la información del archivo confidencial, el flujo de datos alternativo. Como vemos, ni siquiera el cálculo del hash del archivo considera el flujo de datos alternativo. Otra forma de crear flujos de datos alternativos es directamente desde la línea de comandos. Podemos ejecutar Notepad. archivo_normal.txt: secretos2.txt Nos dice que no encuentra el archivo, qué si queremos crearlo, le decimos que efectivamente queremos hacerlo. Y guardamos más información. Guardamos y cerramos. Y ahora podemos abrir un data stream alternativo, o el otro. Este es el primero que creamos y este es el segundo que hemos creado. Ambos coexisten y ninguno modifca el hash original del archivo. Si lo que queremos es un archivo copia del flujo de datos alternativo, podemos utilizar el comando expand. Y le indicamos en qué directorio queremos que lo guarde. Si lo que queremos es crear una copia del archivo contenido en el flujo de datos alternativo, podemos utilizar el comando expand. Como podemos ver, se ha creado el archivo "secretos" mediante el comando expand, en el que podemos ver el contenido del flujo de datos alternativo. De forma maliciosa, los ADS pueden usarse para realizar ataques de saturación de discos duros de forma oculta, lo que redunda en una denegación de servicio, en este caso, de almacenamiento por falta de espacio. La información del tamaño de ADS no está contabilizada por el sistema operativo a pesar de que el sistema de ficheros sí considera que es espacio ocupado. Por eso, aunque Windows muestre que tenemos, por ejemplo, 100 gigas de espacio libre en disco, es posible que puedan estar ocupados por flujos de datos alternativos. Como hemos visto, el cálculo del hash de un archivo no incluye los ADS, por lo que ese no es un método que permita detectar la manipulación. Es más, podrían usarse ADS para exfiltrar información de una empresa en discos o memorias USB con formato NTFS, ya que podemos guardar información normal como archivos personales y sumarles archivos robados en forma de flujos de datos alternativos. De forma que si alguien analiza el contenido del disco al dejar la empresa pero no busca este tipo de datos de forma explícita pasarán desapercibidos. También hay que tener en cuenta que la mayor parte de las aplicaciones no procesan los ADS, por lo que al pasar un archivo por ellas el ADS puede perderse. Por ejemplo, si comprimimos archivos, el compresor ignorará los flujos alternativos. Y si copiamos archivos con flujos alternativos a un disco formateado, por ejemplo, en FAT32, que es una estructura de archivos que no soporta flujo de datos alternativos estos se perderán. Hoy en día, los flujos alternativos de datos son muy conocidos por la industria de la ciberseguridad y por los especialistas, así que muchos sistemas los detectan y casi todos los profesionales saben cómo buscarlos

Fundamentos de la ciberseguridad para profesionales IT

Descubre distintos métodos de evaluación de riesgos y de gestión de incidentes basados en frameworks o marcos de trabajo preestablecidos de alto reconocimiento a nivel mundial.

2:58 horas (27 Videos)
Actualmente no hay comentarios.
Temas:
IT
Seguridad IT
Fecha de publicación:29/08/2017

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.