ADS ALGUMAS TÉCNICAS

Apos uma introdução vamos facilitar as coisas galera você não precisa do metasploit instalado para brincar com  o ADS,vamos utilizar o DOS do windão mesmo 😉  com alguns  comandos básicos para ocultar um arquivo de texto dentro do outro (.txt), veja abaixo:

O segundo comando  informa o nome do arquivo sucedido por um sinal de “:”  assim o nome do arquivo oculto,podemos aplicar esses mesmo conceitos em diretórios é para executáveis.

Agora vamos  examinar um cenário em que um atacante compromete o sistema remoto e, em seguida, deixa um backdoor plantando netcat na máquina,então ele não quer criar um arquivo visível pois assim sera visível de ser detectado, com isso o atacante pretende usar o recurso ADS para esconder seus arquivos. Ele executa um comando para ocultar habilmente o Netcat (nc.exe)  integrado na calculadora(calc.exe).

Além disso o atacante muda o nome do arquivo  de nc.exe para o processo svchost.exe com isso pode passar despercebido pelos administradores,agora vamos executar os seguintes comandos.

A opção / B permite que o invasor execute o comando sem abrir uma nova janela isso poderia alertar o usuário de que algo esta ocorrendo de diferente.

Com isso  o atacante liga uma shell na porta 2222 e com isso tem acesso ao sistema a qualquer hora através do telnet na porta 2222.

Como você pode ver a partir do instantâneo, não há nenhuma mudança no tamanho do calc.exe. A única mudança visível é na data de modificação e hora do programa calc.exe que e impersebivel por muitos usuários.

O utilitário sfc.exe não faz nada,ele é usado com o recurso Proteção de arquivo do Windows (WFP).

Utilizamos o netstat para mostrar que a porta 2222 estava realmente escutando mesmo na mesma.E mesmo que o ouvinte feche a conexão ela será restabelecida graças a opção-L de Netcat.

Podemos ver também no gerenciador do windows o nosso backdoor,veja abaixo

Bom galera e isso , no próximo tópico vamos ver as ferramentas para encontrar ADS no sistema.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s