Ofuscación y flujos de datos alternativos

Cuando un atacante consigue acceder a un sistema con malware, hará todo lo posible para ocultarse y no ser detectado. Si la infección puede evadir la detección, es más probable que logre sus objetivos. Veamos algunas de las formas en que el malware puede ocultarse. En un entorno Windows, podemos utilizar las mismas técnicas que utiliza el propio sistema operativo para ocultar sus propias actividades. Un ejemplo de esto es la carpeta oculta de historial. Estamos en la línea de comandos y accedemos a una carpeta en mi directorio de aplicaciones de usuario escribiendo «cd appdata\ local\microsoft\windows». Si listamos el contenido del directorio, vemos que hay varios archivos y carpetas, pero no hay un subdirectorio de historial. Podemos enumerar los archivos ocultos con «dir /ah». pero como ves, aún no hay ningún directorio de historial. Sin embargo, las cosas no siempre son lo que parecen. El subdirectorio de historial existe. Simplemente no podemos verlo. Pero si intentamos cambiar de directorio y entrar en él, podemos acceder. Veamos qué hay aquí. Fíjate en el archivo desktop.ini. Este es el método que utiliza Microsoft para ocultar el subdirectorio. Veamos qué contiene. Al entrar en desktop.ini, vemos que tiene dos entradas ocultas. La primera es una línea CLSID, que evita que el subdirectorio se incluya en las búsquedas de archivos. Y la segunda, la línea UICLSID, que impide que se vea el subdirectorio mediante el explorador de Windows. UI hace referencia a «user interface», es decir, el entorno gráfico de Windows. Otra forma poca conocida de ocultarse en el disco es usar lo que se conoce como flujo de datos alternativos. En los primeros sistemas de archivos MS-DOS y FAT, los archivos simplemente eran cadenas de datos que las aplicaciones podían leer byte a byte. En NTFS, un archivo es una estructura compleja. Los archivos NTFS contienen, como mínimo, una sección llamada $DATA, que es donde residen los datos leídos por la aplicación. Este es lo que se conoce como flujo de datos. Sin embargo, un archivo puede tener muchas otras secciones, cada una con su propio nombre, y cada una de las cuales puede contener información. Esto se denomina flujo de datos alternativos. Es importante destacar que Windows solo reconoce la sección $DATA, por lo que los datos de flujos de datos alternativos normalmente no son reconocidos ni utilizados por el propio sistema operativo. De acuerdo, de vuelta a la consola, vamos a la carpeta temporal y creemos un nuevo archivo llamado datafile.txt «type con:», la consola, «> datafile.txt». «Here's a text file which has nothing much to hide. It's simply a string of words that is saved to disk». Control+Z y, con esto, ya deberíamos tener nuestro archivo creado. Comprobémoslo. «type datafile.txt» y podemos ver el contenido tal como lo hemos escrito. También podemos comprobar su tamaño. «dir datafile.txt» y vemos que tiene una longitud de 105 bytes. Ahora, creemos otro archivo llamado adsfile.txt «type con: > adsfile.txt». «This is my secret message which I want to store where no one can find it». Control+Z y ahora lo insertaré en un flujo de datos oculto, en un fichero llamado datafile.txt. «type adsfile.txt >datafile.txt:hidden.txt». Veamos cómo se ve datafile.txt ahora. Pues simplemente «type datafile.txt» y «dir datafile.txt». No hay ningún cambio aparente. Sin embargo, si ahora escribo «more < datafile.txt: hidden.txt», veremos el texto oculto. Los flujos de datos alternativos también se pueden usar para ocultar archivos ejecutables. Como ejemplo, insertaremos la calculadora de Windows en este archivo de texto. «type \windows\system32\calc.exe > datafile.txt: mycalc.exe». «type datafile.txt». Vemos exactamente el mismo fichero, con el mismo tamaño de 105 bytes. No hay ningún cambio visible. Podemos usar una forma especial de la herramienta de instrumentación de Windows, «wmic», para ejecutar este ejecutable oculto. «wmic process call create» y, entre comillas, pondremos la dirección «C:\temp\ datafile.txt:mycalc.exe». Intro y ya tenemos nuestra calculadora ejecutándose. Si bien los flujos de datos alternativos no pueden verse en Explorer o al usar el comando dir normalmente, es posible usar la opción de línea de comando /r en el comando dir para verlos. «dir datafile.txt /r». Aquí podemos ver que este archivo tiene dos flujos adicionales, hidden.txt y mycalc.exe.