Módulo 7: Detección de Flujos de Datos Ocultos (Alternate Data Streams - ADS)
Herramienta: Sysinternals Streams v1.6x
Perfil: Forensic Analysis / Anti-Forensics / Malware Hunting
{width=“6.267716535433071in”
height=“2.9444444444444446in”}
1. Introducción Teórica
El sistema de archivos NTFS de Windows posee una característica nativa llamada
Alternate Data Streams (ADS) Esta funcionalidad permite asociar múltiples flujos de datos a un único nombre de archivo (MFT Entry).
El Problema de Seguridad: Windows Explorer y herramientas básicas como `dir` solo muestran el flujo de datos principal (*$DATA*).
Esto permite a un atacante ocultar payloads, configuraciones o herramientas completas “detrás” de un archivo de texto o imagen legítimo, sin alterar su tamaño visible ni su hash MD5 principal.
2. Metodología: Prueba de Concepto (PoC)
Se procedió a simular una técnica de ocultación de datos para validar la capacidad de detección de la herramienta `streams.exe`.
2.1 Inyección de Datos Ocultos
Se utilizó la consola de comandos (CMD) para manipular los streams de un archivo señuelo.
1. Creación del Cebo:
Comando: `echo “Soy un archivo normal” > visible.txt`
Estado: Archivo visible y accesible por el usuario.
2. Ocultación (Steganography-like):
Comando: `echo “ESTE ES EL SECRETO OCULTO” > visible.txt:escondido.txt`
Técnica: Se utilizó la sintaxis `Archivo:Stream` para redirigir la salida a un ADS.
{width=“6.267716535433071in”
height=“3.263888888888889in”}
2.2 Evasión de Herramientas Tradicionales
Al verificar el archivo con el comando estándar `dir visible.txt`, el sistema operativo reportó el tamaño original (solo los bytes del texto visible), ignorando completamente la existencia de la información inyectada.
3. Análisis Forense con Sysinternals
Se ejecutó la herramienta especializada para revelar los metadatos ocultos.
Comando de Detección:
`streams.exe visible.txt`
Hallazgos:
La herramienta identificó y expuso el flujo oculto:
Stream detectado:`:escondido.txt`
Tamaño del Payload: [Bytes del texto oculto]
Contenido: (Accesible mediante `notepad visible.txt:escondido.txt` o herramientas de extracción).
{width=“6.267716535433071in”
height=“3.0416666666666665in”}
4. Aplicación en Ciberseguridad
El dominio de esta herramienta es crítico para dos escenarios:
1. Análisis de Malware: Detectar si un atacante ha ocultado herramientas de hacking en carpetas del sistema (ej. `C:\Windows\System32`) usando ADS.
Comando de Barrido: `streams -s C:\Windows\`
2. Forense Web (Zone.Identifier): Los navegadores marcan los archivos descargados de Internet añadiendo un ADS llamado `Zone.Identifier`. `Streams` permite leer este metadato para saber desde qué URL se descargó un archivo sospechoso (“Mark of the Web”).
5. Conclusión del Módulo
Se ha demostrado que el tamaño y contenido visible de un archivo en Windows no garantizan su inocuidad. La herramienta `streams.exe` es indispensable para auditar la superficie real de almacenamiento y descubrir artefactos ocultos por técnicas de anti-forense.