Protection 📝 Masquer des activités malveillantes à l'aide des flux de données alternatifs NTFS (ADS)

[Sylvain*]

Masquer des activités malveillantes à l'aide des flux de données alternatifs NTFS (ADS)

Introduction

Les flux de données alternatifs (ADS) du système de fichiers NTFS permettent d'attacher des données supplémentaires à un fichier sans modifier son apparence visible dans l'explorateur Windows. Cette fonctionnalité légitime est souvent détournée pour dissimuler des fichiers exécutables ou des scripts malveillants. Ce tutoriel détaille les méthodes d'injection, de détection et de suppression des ADS afin de se prémunir contre les abus et renforcer la visibilité sur ces contenus invisibles.

---

Prérequis

• Connaissance approfondie de Windows

• Familiarité avec les outils systèmes Windows

• Droits administrateurs nécessaires

---

Niveau de difficulté

• Étape #1 : Basique

• Étape #2 : Intermédiaire

• Étape #3 : Intermédiaire

• Étape #4 : Avancé

• Étape #5 : Avancé

---

Les Avantages

• Étape #1 : Permet de tester les capacités de détection de sécurité

• Étape #2 : Outil pédagogique pour comprendre NTFS

• Étape #3 : Détecte les abus sur des systèmes compromis

• Étape #4 : Permet une réponse ciblée aux incidents

• Étape #5 : Complète un audit de sécurité sur disque

---

Les Inconvénients

• Étape #1 : ADS est invisible aux outils standards

• Étape #2 : Peut contourner certains antivirus

• Étape #3 : Requiert des connaissances avancées

• Étape #4 : Complexe à auditer sur un grand parc

• Étape #5 : Non supporté sur systèmes FAT32

---

Étape #1

Créer un fichier test dans un dossier

echo test > C:\test\visible.txt

Ajouter un flux ADS caché avec contenu malveillant simulé

echo malware > C:\test\visible.txt:hidden.txt

Vérifier qu’il est invisible dans l’explorateur

Confirmer que la taille du fichier principal reste inchangée

---

Étape #2

Lire le contenu d’un ADS caché

more < C:\test\visible.txt:hidden.txt

Copier un exécutable dans un ADS

type notepad.exe > C:\test\visible.txt:notepad.exe

Exécuter un fichier depuis ADS avec cmd

start C:\test\visible.txt:notepad.exe

Observer l’exécution furtive depuis un flux ADS

---

Étape #3

Lister les ADS sur un fichier

dir /r C:\test\visible.txt

Analyser tous les fichiers avec PowerShell

Get-Item -Path C:\test* | ForEach-Object {Get-Item $_.FullName -Stream *}

Automatiser la détection sur un volume entier

Rechercher les fichiers suspects par leur flux

---

Étape #4

Supprimer un flux ADS spécifique

Remove-Item -Path C:\test\visible.txt -Stream hidden.txt

Vérifier l’éradication du flux

dir /r C:\test\visible.txt

Appliquer une politique d’audit NTFS

Activer la surveillance des flux via un EDR

---

Étape #5

Utiliser Sysinternals Streams pour scanner les ADS

streams.exe -s C:\test

Supprimer tous les ADS détectés

streams.exe -d C:\test

Intégrer Streams dans un plan d’audit récurrent

Exporter les résultats de détection

---

Astuce

La commande

dir /r

permet d’afficher les flux alternatifs associés à chaque fichier et est particulièrement utile sur les disques NTFS pour repérer les anomalies de taille ou les fichiers augmentés anormalement.

---

Mise en garde

L’utilisation des ADS par des logiciels malveillants est courante. Ne jamais exécuter ou lire un flux inconnu sans analyse préalable. Il est impératif de désactiver cette fonctionnalité dans des environnements critiques si non utilisée.

---

Conseil

Pour les environnements sensibles, il est recommandé d’utiliser un SIEM ou une solution EDR capable de détecter l’usage anormal des flux ADS et d’alerter en temps réel sur leur création ou exécution.

---

Solutions alternatives

• analyse flux alternatif ntfs

• utilisation streams.exe sysinternals

• detection malware ads windows

---

Références utiles

• Support Microsoft

• Microsoft Learn

• Recherche GitHub

---

Conclusion

Les flux de données alternatifs (ADS) de NTFS représentent un risque de dissimulation non négligeable dans les environnements Windows. Ce tutoriel offre une approche complète pour comprendre, identifier et neutraliser leur usage malveillant, contribuant à un durcissement efficace du système de fichiers et à une meilleure posture de cybersécurité.