Masquer des activités malveillantes à l'aide des flux de données alternatifs NTFS (ADS)
IntroductionLes flux de données alternatifs (ADS) du système de fichiers NTFS permettent d'attacher des données supplémentaires à un fichier sans modifier son apparence visible dans l'explorateur Windows. Cette fonctionnalité légitime est souvent détournée pour dissimuler des fichiers exécutables ou des scripts malveillants. Ce tutoriel détaille les méthodes d'injection, de détection et de suppression des ADS afin de se prémunir contre les abus et renforcer la visibilité sur ces contenus invisibles.
Prérequis• Connaissance approfondie de Windows
• Familiarité avec les outils systèmes Windows
• Droits administrateurs nécessaires
Niveau de difficulté• Étape #1 : Basique
• Étape #2 : Intermédiaire
• Étape #3 : Intermédiaire
• Étape #4 : Avancé
• Étape #5 : Avancé
Les Avantages• Étape #1 : Permet de tester les capacités de détection de sécurité
• Étape #2 : Outil pédagogique pour comprendre NTFS
• Étape #3 : Détecte les abus sur des systèmes compromis
• Étape #4 : Permet une réponse ciblée aux incidents
• Étape #5 : Complète un audit de sécurité sur disque
Les Inconvénients• Étape #1 : ADS est invisible aux outils standards
• Étape #2 : Peut contourner certains antivirus
• Étape #3 : Requiert des connaissances avancées
• Étape #4 : Complexe à auditer sur un grand parc
• Étape #5 : Non supporté sur systèmes FAT32
Étape #1
Créer un fichier test dans un dossier
Code:
echo test > C:\test\visible.txt
Ajouter un flux ADS caché avec contenu malveillant simulé
Code:
echo malware > C:\test\visible.txt:hidden.txt
Vérifier qu’il est invisible dans l’explorateur
Confirmer que la taille du fichier principal reste inchangée Étape #2 Lire le contenu d’un ADS caché
Code:
more < C:\test\visible.txt:hidden.txt
Code:
type notepad.exe > C:\test\visible.txt:notepad.exe
Code:
start C:\test\visible.txt:notepad.exe
Code:
dir /r C:\test\visible.txt
Code:
Get-Item -Path C:\test* | ForEach-Object {Get-Item $_.FullName -Stream *}
Code:
Remove-Item -Path C:\test\visible.txt -Stream hidden.txt
Code:
dir /r C:\test\visible.txt
Code:
streams.exe -s C:\test
Code:
streams.exe -d C:\test
AstuceLa commande
Code:
dir /r
Mise en gardeL’utilisation des ADS par des logiciels malveillants est courante. Ne jamais exécuter ou lire un flux inconnu sans analyse préalable. Il est impératif de désactiver cette fonctionnalité dans des environnements critiques si non utilisée.
ConseilPour les environnements sensibles, il est recommandé d’utiliser un SIEM ou une solution EDR capable de détecter l’usage anormal des flux ADS et d’alerter en temps réel sur leur création ou exécution.
Solutions alternatives• analyse flux alternatif ntfs
• utilisation streams.exe sysinternals
• detection malware ads windows
Références utiles• Support Microsoft
• Microsoft Learn
• Recherche GitHub
ConclusionLes flux de données alternatifs (ADS) de NTFS représentent un risque de dissimulation non négligeable dans les environnements Windows. Ce tutoriel offre une approche complète pour comprendre, identifier et neutraliser leur usage malveillant, contribuant à un durcissement efficace du système de fichiers et à une meilleure posture de cybersécurité.
