Indice dei contenuti
- Cosa sono gli alternate data stream
- Come funzionano gli alternate data stream
- Perché gli alternate data stream sono una minaccia per la sicurezza informatica
- Come rilevare e rimuovere gli alternate data stream
Gli alternate data stream (ADS) rappresentano una funzione avanzata del file system NTFS che consente di associare informazioni aggiuntive a ogni file senza modificarne l’apparenza esterna.
Questa caratteristica, introdotta con il sistema operativo Windows a partire da Windows 2000, offre opportunità interessanti per lo storage di dati nascosti, ma apre anche la porta a nuovi rischi in ambito di cyber security.
Gli alternate data stream possono essere sfruttati per nascondere dati senza alterare le dimensioni visibili di un file, rendendoli una scelta popolare per inserire contenuti dannosi in modo invisibile. Ma cosa sono e come funzionano esattamente?
Cosa sono gli alternate data stream
Gli alternate data streams (ADS) sono in pratica dei flussi di dati che possono essere associati ai file NTFS. Grazie a questa tecnologia, un file può contenere qualsiasi tipo di dato in uno stream separato rispetto ai flussi principali.
Questo stream aggiuntivo non è rilevabile attraverso le normali proprietà del file, ma può essere accessibile mediante il prompt dei comandi.
In sostanza, si può dire che gli ADS permettono di aggiungere contenuto al file senza cambiare il file principale, mantenendolo quindi visivamente identico.
In particolare, questa tecnologia si rivela vantaggiosa quando si vogliono associare informazioni aggiuntive a file esistenti, come file di testo o file scaricati.
Tuttavia, gli ADS possono anche contenere codice dannoso e rappresentare una seria minaccia alla sicurezza, poiché possono essere utilizzati per inserire software nocivi in un sistema senza che l’utente ne sia consapevole.
Come funzionano gli alternate data stream
Nell’ambito della sicurezza informatica, gli alternate data stream (ADS) vengono sfruttati per nascondere file, programmi o altre informazioni in modo invisibile.
Un file NTFS con ADS nei file aggiuntivi conserva le dimensioni originarie, senza rivelare la presenza di altri contenuti.
Esempio:
Un criminale informatico potrebbe aggiungere uno script o un malware a un file legittimo, che rimarrà visibile come riepilogo presente nelle proprietà del file principale.
Per accedere a questi alternate data streams, si utilizza spesso il prompt dei comandi, sfruttando una sintassi specifica per visualizzare o modificare i contenuti nascosti.
Con Windows 2000 e i sistemi successivi, diventa possibile creare alternate data stream (ADS) su quasi tutti i file, rendendoli una tecnica versatile e insidiosa per nascondere dati o codice dannoso all’interno di un sistema.
Perché gli alternate data stream sono una minaccia per la sicurezza informatica
Gli ADS rappresentano una sfida unica per la cyber security, poiché possono contenere qualsiasi tipo di dato e nascondere dati senza che il proprietario del sistema se ne accorga.
Questo li rende un vettore comune per i malware, che possono essere associati a file innocui e rimanere nascosti fino a che non vengono eseguiti.
Poiché alternate data stream (ADS) non sono visibili nelle proprietà standard di un file, spesso sono trascurati dagli utenti e persino da alcuni software antivirus.
Le aziende e i professionisti della sicurezza informatica devono essere consapevoli dei pericoli che gli ADS rappresentano.
Poiché possono essere utilizzati per archiviare informazioni aggiuntive che non sono rilevabili facilmente, è importante fare uso di strumenti avanzati per analizzare i file system NTFS alla ricerca di ADS nei file.
Come rilevare e rimuovere gli alternate data stream
Nonostante gli ADS possano essere difficili da individuare, esistono tecniche e strumenti che possono aiutare a identificarli.
Gli strumenti come PowerShell, Sysinternals Streams e diversi software di scansione avanzati possono rivelare la presenza di alternate data streams nei file.
Usando il prompt dei comandi, è possibile esaminare manualmente i flussi principali per verificare se contengono contenuto del file nascosto o codice dannoso.
Un modo semplice per identificare ADS è verificare se il file system NTFS utilizza più flussi di dati, i quali spesso sono segnalati da caratteri speciali nelle directory. Anche se queste verifiche possono richiedere tempo e attenzione, sono cruciali per la sicurezza del sistema.
Domande e risposte
- Che cosa sono gli alternate data stream?
Gli alternate data stream sono flussi di dati aggiuntivo che possono essere associati a file nel file system NTFS . - Perché gli ADS sono una minaccia per la sicurezza?
Possono nascondere dati dannosi senza modificare le dimensioni del file principale, rendendo difficoltosa l’individuazione di malware. - Come si accede agli alternate data stream?
Gli ADS possono essere visualizzati tramite il prompt dei comandi con sintassi specifiche. - È possibile eliminare gli alternate data stream?
Sì, è possibile utilizzare strumenti come PowerShell o Sysinternals Streams per rimuoverli. - Quali file possono contenere alternate data stream?
Ogni file del file system NTFS può contenere ADS aggiuntivi. - Cosa succede ai file scaricati con ADS?
I file scaricati possono includere ADS che contengono informazioni aggiuntive sul download. - Come gli alternate data stream vengono utilizzati dai cybercriminali?
Gli ADS sono usati per nascondere codice dannoso o dati sensibili in file apparentemente innocui. - Quali sistemi operativi supportano gli alternate data stream?
Gli ADS sono supportati dai sistemi Windows basati su NTFS, come Windows 2000 e versioni successive. - Quali strumenti rilevano gli alternate data stream?
Software di scansione avanzati, PowerShell e Sysinternals Streams possono rilevare ADS. - Gli alternate data stream influenzano la dimensione dei file?
Gli ADS non modificano la dimensione visibile dei file NTFS, rendendo difficile identificarli senza strumenti specializzati.
