ADS

Alternate Data Stream
- macOS HFS 파일 시스템과의 호환성을 목적으로 처음 사용
- NTFS 파일 시스템에서 파일에 사용되는 기본 스트림 외에 다른 데이터 스트림을 추가로 저장할 수 있도록 하는 기능
- NTFS 파일 시스템에서는 파일이 $DATA 속성을 1개 이상 가질 수 있음
- 하나의 파일에 $DATA 속성이 여러개 올 수 있으며 추가적으로 존재하는 $DATA 속성을 ADS라고 함

ADS에는 텍스트 데이터를 은닉시키는 것은 물론, 실행 파일의 데이터 또한 은닉할 수 있기 때문에 악의적인 목적으로도 사용가능

많은 보안 솔루션들이 ADS영역까지 탐지, 하지만 최근에도 ADS를 활용하는 랜섬웨어가 존재하였음

<ADS의 형태>
ADS SAMPLE.txt(파일명) : Memo.txt(ADS식별자)

ADS가 존재하는 파일이더라도 일반적인 방법으로는 위와 같이 보이지 않으며 파일명만 확인가능

<ADS 생성 방법>
type [src file] > [dst file:{ADS name}]

<ADS 추출방법>
expand [ADSfile] [New filename]
또는 AlternateStreamView.exe를 통해 추출가능

<CMD를 이용한 실행방법>
wmic process call create "Filename:ADSname"

<CMD를 이용한 실행 방법 VBS>
cscript [ADS file] ==> 콘솔창이 필요한 경우(CLI)
wscript [ADS file] ==> 콘솔창이 필요없는 경우 (GUI)
ADS에 저장된 VBS코드 실행가능

<기타 실행방법>
ADS에 저장된 데이터가 dll파일일 경우 rundll32.exe를 이용하여 호출 가능

HTA파일일 경우 mshta.exe를 통해 호출가능

그림파일인경우 mspaint.exe를 통해 실행가능

텍스트 파일인경우 notepad.exe를 통해 실행가능

<ADS의 포렌식적 접근>

1.Prefetch
- findstr.exe를 사용하여 ADS데이터를 삽입한 경우 프리패치 파일을 로드한 흔적이 남음
- cscript와 wscript를 통해 vbs를 실행한 경우 프리패치에 등록됌

2. Zone Identifier
- 웹 브라우저에서 파일을 다운로드 받게 되면 어느 사이트에서 파일을 다운받았는지 기록을 남기고 이러한 정보가 저장되어 있는 값을 Zone Identifier라고 함