NTFS Streams o cómo ocultar información sensible al usuario
Estos días en el curso sobre hacking que ando haciendo uno de los laboratorios consistía en ocultar un rootkit al usuario estándar de windows ─bueno, al estándar y al no estándar, porque a estas alturas creo que abren la consola una, o ninguna, vez al año─. Si hay algún usuario de windows presente, le ruego que haga conmigo los siguientes pasos:
- Abrir una consola. Es esa ventana negra con letras blancas... no
hay que asustarse, es así de fea sin pichorros ni chismáticos.
Si no la encontráis, en el buscador de la barra poned
cmd
y aparecerá automágicamente. Escribe los siguientes comandos:
c:\>notepad mifichero.txt:leon.txt
Dale a
Aceptar
o aYes
y tendrás una ventana perfectamente funcional denotepad
.notepad
es un editor de texto plano, por si nunca lo has utilizado. Cuando escribas algo, cualquier cosa, porque esto es una prueba de concepto, dale aguardar
.Siguiente paso:
c:\>notepad mifichero.txt:tigre.txt
Repite el mismo proceso que antes con
mifichero.txt:leon.txt
.- Comprueba el tamaño del fichero
mifichero.txt
... ¿cómo? ¿es cero? ¿y los contenidos que has escrito? Pues están ahí, sólo tienes que abrir de nuevo connotepad
los ficherosmifichero.txt:leon.txt
ymifichero.txt:tigre.txt
.
¿A que es divertido? Lo bueno de todo es que no es un error de diseño, es una característica buscada en windows vete tú a saber para qué.
El ejercicio que teníamos que hacer en el curso era algo más complejo:
consistía en ocultar un troyano en un fichero Readme.txt
para
abrirnos una puerta trasera o backdoor. Si alguien tiene
curiosidad, explotando esta característica de windows son tres
comandos ─una vez creados los ejecutables, claro─:
C:\>type c:\troyano.exe > c:\Readme.txt:Troyano.exe C:\>mklink backdoor.exe Readme.txt:Troyano.exe
Y luego para ejecutar el troyano oculto en Readme.txt
:
C:\>backdoor
Vale, se pueden ver los NTFS Streams tecleando dir /r
en la
consola, pero como decía antes: ¿cuántos usuarios de windows se
plantean abrir una consola para ver qué ficheros hay en un directorio
(bueno, ellos ya lo llaman carpeta)? Como mucho uno o ninguno... y
así es amigüitos cómo los señores de micro$oft mantienen seguros
nuestros ordenadores, porque en ningún otro Sistema Operativo se puede
hacer algo tan tonto.