Notxor tiene un blog

Defenestrando la vida


NTFS Streams o cómo ocultar información sensible al usuario

Estos días en el curso sobre hacking que ando haciendo uno de los laboratorios consistía en ocultar un rootkit al usuario estándar de windows ─bueno, al estándar y al no estándar, porque a estas alturas creo que abren la consola una, o ninguna, vez al año─. Si hay algún usuario de windows presente, le ruego que haga conmigo los siguientes pasos:

  1. Abrir una consola. Es esa ventana negra con letras blancas... no hay que asustarse, es así de fea sin pichorros ni chismáticos. Si no la encontráis, en el buscador de la barra poned cmd y aparecerá automágicamente.
  2. Escribe los siguientes comandos:

    c:\>notepad mifichero.txt:leon.txt
    

    Dale a Aceptar o a Yes y tendrás una ventana perfectamente funcional de notepad. notepad es un editor de texto plano, por si nunca lo has utilizado. Cuando escribas algo, cualquier cosa, porque esto es una prueba de concepto, dale a guardar.

    Siguiente paso:

    c:\>notepad mifichero.txt:tigre.txt
    

    Repite el mismo proceso que antes con mifichero.txt:leon.txt.

  3. Comprueba el tamaño del fichero mifichero.txt... ¿cómo? ¿es cero? ¿y los contenidos que has escrito? Pues están ahí, sólo tienes que abrir de nuevo con notepad los ficheros mifichero.txt:leon.txt y mifichero.txt:tigre.txt.

¿A que es divertido? Lo bueno de todo es que no es un error de diseño, es una característica buscada en windows vete tú a saber para qué.

El ejercicio que teníamos que hacer en el curso era algo más complejo: consistía en ocultar un troyano en un fichero Readme.txt para abrirnos una puerta trasera o backdoor. Si alguien tiene curiosidad, explotando esta característica de windows son tres comandos ─una vez creados los ejecutables, claro─:

C:\>type c:\troyano.exe > c:\Readme.txt:Troyano.exe
C:\>mklink backdoor.exe Readme.txt:Troyano.exe

Y luego para ejecutar el troyano oculto en Readme.txt:

C:\>backdoor

Vale, se pueden ver los NTFS Streams tecleando dir /r en la consola, pero como decía antes: ¿cuántos usuarios de windows se plantean abrir una consola para ver qué ficheros hay en un directorio (bueno, ellos ya lo llaman carpeta)? Como mucho uno o ninguno... y así es amigüitos cómo los señores de micro$oft mantienen seguros nuestros ordenadores, porque en ningún otro Sistema Operativo se puede hacer algo tan tonto.


Comentarios

Debido a algunos ataques mailintencionados a través de la herramienta de comentarios, se ha decidido activar un filtro antispam y guardar las direcciones IP con el único objeto de añadir a la lista de bloqueos las que correspondan a spam y otras actividades maliciosas.

Disculpen las molestias.