Attributi NTFS: Hide NTFS File Attributes (T1564.004)

La creazione di Alternate Data Streams richiede solo accesso in scrittura al file system NTFS. Il comando base per nascondere dati è sorprendentemente semplice:

echo "payload nascosto" > file.txt:stream_nascosto

Per nascondere un eseguibile completo all'interno di un file legittimo, utilizziamo:

type malware.exe > documento.docx:hidden.exe

L'esecuzione diretta del contenuto nascosto avviene tramite WMIC o PowerShell. Con WMIC possiamo lanciare l'eseguibile nascosto:

wmic process call create "C:\percorso\documento.docx:hidden.exe"

PowerShell offre maggiore flessibilità per interagire con gli ADS. Per leggere il contenuto:

Get-Content -Path "file.txt:stream_nascosto" -Stream stream_nascosto

La tecnica diventa ancora più potente quando combinata con file di sistema esistenti. PowerDuke (S0139) nasconde i suoi payload di backdoor negli ADS, mentre POWERSOURCE (S0145) scrive il payload decodificato in un ADS chiamato kernel32.dll salvato in %PROGRAMDATA%\Windows.

Per replicare il comportamento di Gazer (S0168), che memorizza configurazioni negli ADS quando il Registry non è accessibile:

$config = @{Server="C2.domain.com"; Port=443} | ConvertTo-Json Set-Content -Path "svchost.exe:config" -Value $config

Gli Extended Attributes richiedono API native. Regin (S0019) utilizza EA per memorizzare eseguibili cifrati - una tecnica replicabile tramite:

fsutil file setea file.txt ea_name 0x[hex_data]

L'utility esentutl (S0404), normalmente usata per database Exchange, può leggere e scrivere ADS:

esentutl /y payload.exe /d "C:\Windows\System32\notepad.exe:payload.exe" /o

La detection strategy DET0432 identifica l'abuso di attributi NTFS attraverso pattern comportamentali specifici. Il primo indicatore è la presenza della sintassi con i due punti nei path di file.

Sysmon EventID 15 cattura la creazione di ADS. La configurazione minima richiede:

<FileCreateStreamHash onmatch="include">
    <Rule groupRelation="and">
        <TargetFilename condition="contains">:</TargetFilename>
        <TargetFilename condition="excludes">Zone.Identifier</TargetFilename>
    </Rule>
</FileCreateStreamHash>

Le API calls critiche da monitorare includono ZwSetEaFile e ZwQueryEaFile per Extended Attributes. ETW provider Microsoft-Windows-Kernel-File fornisce visibilità granulare su queste operazioni.

PowerShell lascia tracce specifiche quando interagisce con ADS. Monitorate i comandi contenenti il parametro -Stream o l'uso di Get-Item con path contenenti i due punti. Valak (S0476) e WastedLocker (S0612) salvano ed eseguono file come ADS, generando questo pattern.

Il tuning richiede l'esclusione di ADS legittimi come Zone.Identifier (creato automaticamente per file scaricati) e thumbnail cache. Focalizzate il monitoraggio su processi sospetti come parent: powershell.exe, cmd.exe, wscript.exe.

La correlazione temporale è fondamentale. BitPaymer (S0570) copia se stesso nell'ADS :bin di un nuovo file - cercate creazioni di ADS seguite da esecuzioni di processo entro 60 secondi.

Un indicatore ad alta fedeltà è la creazione di ADS in directory di sistema come %PROGRAMDATA% o %APPDATA%. Anchor (S0504) utilizza NTFS per nascondere file in queste location privilegiate.

L'analisi forense degli ADS richiede tool specializzati poiché Windows Explorer nasconde questi stream. Il comando dir /r rivela tutti gli stream presenti:

dir C:\suspects* /s /r | findstr ":$DATA"

La MFT contiene timestamp separati per ogni stream. FTK Imager o EnCase permettono di estrarre questi metadati per ricostruire la timeline precisa. LoJax (S0397) carica driver NTFS DXE per accedere alle partizioni - controllate modifiche anomale alla MFT.

PowerShell fornisce accesso programmatico agli stream per l'estrazione:

Get-Item -Path "file.exe" -Stream * | ForEach-Object {Get-Content -Path $.PSPath -Stream $.Stream}

Gli artefatti di esecuzione differiscono per metodo di lancio. WMIC lascia tracce in WMI Repository, mentre l'esecuzione diretta tramite API genera entry nel Prefetch con path completo incluso lo stream name.

APT32 (G0050) ha utilizzato NTFS ADS per nascondere payload - nei loro attacchi, la timeline mostra creazione ADS → persistence mechanism → esecuzione ritardata. Cercate questo pattern temporale negli incident.

DEADEYE (S1052) nella variante EMBED incorpora payload negli ADS di file locali. L'analisi della $USNJRNL rivela le modifiche sequenziali: creazione file host → aggiunta stream → modifiche ripetute durante l'esecuzione.

La cancellazione degli ADS lascia tracce nella $LogFile NTFS. Latrodectus (S1160) si elimina mentre il processo è ancora in esecuzione utilizzando ADS - un comportamento che genera entry anomale nel journal.

Tool come streams.exe di Sysinternals o LADS permettono scansioni rapide dell'intero file system. Per Extended Attributes, fsutil enumera tutti gli EA presenti.

APT32 rappresenta l'unico gruppo documentato che utilizza sistematicamente NTFS ADS nelle proprie operazioni. Questo attore vietnamita, noto anche come OceanLotus, integra la tecnica nel proprio toolkit per mantenere persistence a lungo termine.

Il profilo del malware rivela pattern geografici interessanti. Regin, attribuito a Five Eyes, utilizza Extended Attributes per storage cifrato - una scelta tecnica che riflette la sofisticazione di attori nation-state. La piattaforma modulare permette di nascondere interi framework di post-exploitation.

Gazer, collegato a Turla Group, memorizza configurazioni in ADS quando il Registry non è accessibile. Questo fallback mechanism indica pianificazione per ambienti hardened dove l'accesso al registro è monitorato o bloccato.

L'evoluzione del malware finanziario mostra adoption crescente. Astaroth (S0373) abusa degli ADS per payload malevoli, mentre BitPaymer e WastedLocker - entrambi ransomware enterprise - utilizzano ADS per evadere detection durante le fasi iniziali dell'infezione.

Il tool overlap è significativo. Expand (S0361), utility Windows legittima, viene abusata per download in ADS. Similmente esentutl, progettato per Exchange, diventa strumento per manipolazione ADS. Questa trend di "living off the land" continuerà.

PowerDuke e POWERSOURCE rappresentano l'evoluzione PowerShell-based. Entrambi sfruttano ADS per storage di backdoor, indicando che attori APT continueranno a integrare la tecnica in framework PowerShell.

La presenza di Zeroaccess (S0027), Valak (S0476) e Anchor (S0504) suggerisce adoption anche nel cybercrime commodity. La tecnica sta migrando da APT esclusivo a TTP standard nel malware-as-a-service.

Documentazione tecnica basata sul framework MITRE ATT&CK per la tecnica T1564.004. Analisi derivata da incident documentati di APT32, malware families Regin, PowerDuke, Gazer e relativi IoC. Detection strategy DET0432 per configurazione ottimale di sensori EDR/SIEM in ambienti enterprise Windows.