Notxor tiene un blog

Defenestrando la vida

NTFS Streams o cómo ocultar información sensible al usuario

Estos días en el curso sobre hacking que ando haciendo uno de los laboratorios consistía en ocultar un rootkit al usuario estándar de windows ─bueno, al estándar y al no estándar, porque a estas alturas creo que abren la consola una, o ninguna, vez al año─. Si hay algún usuario de windows presente, le ruego que haga conmigo los siguientes pasos:

  1. Abrir una consola. Es esa ventana negra con letras blancas... no hay que asustarse, es así de fea sin pichorros ni chismáticos. Si no la encontráis, en el buscador de la barra poned cmd y aparecerá automágicamente.

  2. Escribe los siguientes comandos: 

    c:\>notepad mifichero.txt:leon.txt

    Dale a Aceptar o a Yes y tendrás una ventana perfectamente funcional de notepad. notepad es un editor de texto plano, por si nunca lo has utilizado. Cuando escribas algo, cualquier cosa, porque esto es una prueba de concepto, dale a guardar.

    Siguiente paso: 

    c:\>notepad mifichero.txt:tigre.txt

    Repite el mismo proceso que antes con mifichero.txt:leon.txt.

  3. Comprueba el tamaño del fichero mifichero.txt... ¿cómo? ¿es cero? ¿y los contenidos que has escrito? Pues están ahí, sólo tienes que abrir de nuevo con notepad los ficheros mifichero.txt:leon.txt y mifichero.txt:tigre.txt.

¿A que es divertido? Lo bueno de todo es que no es un error de diseño, es una característica buscada en windows vete tú a saber para qué.

El ejercicio que teníamos que hacer en el curso era algo más complejo: consistía en ocultar un troyano en un fichero Readme.txt para abrirnos una puerta trasera o backdoor. Si alguien tiene curiosidad, explotando esta característica de windows son tres comandos ─una vez creados los ejecutables, claro─: 

C:\>type c:\troyano.exe > c:\Readme.txt:Troyano.exe
C:\>mklink backdoor.exe Readme.txt:Troyano.exe

Y luego para ejecutar el troyano oculto en Readme.txt: 

C:\>backdoor

Vale, se pueden ver los NTFS Streams tecleando dir /r en la consola, pero como decía antes: ¿cuántos usuarios de windows se plantean abrir una consola para ver qué ficheros hay en un directorio (bueno, ellos ya lo llaman carpeta)? Como mucho uno o ninguno... y así es amigüitos cómo los señores de micro$oft mantienen seguros nuestros ordenadores, porque en ningún otro Sistema Operativo se puede hacer algo tan tonto.

2019-05-11 2019-05-11 seguridad, windows Notxor

Comentarios

Debido a algunos ataques mailintencionados a través de la herramienta de comentarios, he decidido no proporcionar dicha opción en el Blog. Si alguien quiere comentar algo, me puede encontrar en Mastodon y en Diaspora con el nick de Notxor.

También se ha abierto un grupo en Telegram, para usuarios de esa red.

Disculpen las molestias.

Generado por Emacs 27.x (Org mode 9.x)

2012 - Notxor   -   Powered by org-page

Donar por Paypal Donar por Liberapay