alternate data streams (ntfs)

 Alternate Data Streams (ADS), Microsoft'un Windows işletim sistemine özgü bir özellik olup, NTFS (New Technology File System) dosya sisteminin bir parçasıdır. Bu özellik, dosyaların yalnızca bir ana veri akışına değil, aynı zamanda bir veya daha fazla alternatif veri akışına sahip olmasını sağlar. ADS, genellikle veri saklama, dosya özellikleri ekleme ya da kötü niyetli uygulamalar tarafından gizli veri saklamak için kullanılır.

ADS'in Temelleri

NTFS dosya sistemi, dosyaların hem veri hem de meta veri (dosya özellikleri) saklamasına olanak tanır. Geleneksel dosya sistemlerinde, her dosya yalnızca bir veri akışına sahiptir; yani dosya içeriği ve özellikleri yalnızca tek bir akışta saklanır. Ancak, NTFS’de dosyaların birden fazla veri akışına sahip olabilmesi mümkün hale gelir.

  • Ana Veri Akışı (Primary Data Stream): Bu, dosyanın gerçek içeriği (örneğin bir metin dosyasının metni, bir resmin piksel verisi vb.) barındırır. NTFS dosyasındaki bu ana akış, dosyanın içeriğini temsil eder.

  • Alternatif Veri Akışları (Alternate Data Streams): ADS, dosyanın ana veri akışının yanı sıra ek veri akışları eklenmesine olanak tanır. Bu alternatif akışlar, dosya içinde gizli veri saklamayı mümkün kılar. Bu veri, genellikle dosyanın kendisine dahil olmadan, farklı bir akışta saklanır. Windows'un Explorer arayüzü ve diğer temel araçlar bu alternatif akışları genellikle göstermez.

ADS’in Tarihçesi ve Gelişimi

  1. Windows NT ve NTFS:

    • 1993 yılında Microsoft, Windows NT 3.1 ile birlikte NTFS dosya sistemini tanıttı. NTFS, FAT (File Allocation Table) dosya sisteminin sunduğu sınırlamaları aşmak amacıyla geliştirilmişti. NTFS, daha büyük dosya boyutları, güvenlik ve veri bütünlüğü sağlamak gibi birçok avantaj sundu.

    • Alternate Data Streams, NTFS'nin bir parçası olarak ortaya çıktı ve 1993'teki Windows NT sürümünden itibaren kullanılabilir hale geldi.

  2. Kötü Amaçlı Yazılımlar ve Güvenlik Sorunları:

    • 1990'ların sonunda ve 2000'li yılların başında, bilgisayar güvenliği konusunda artan endişelerle birlikte, ADS'in kötü amaçlı yazılımlar tarafından veri gizleme amacıyla kullanılmaya başlandığı görüldü.

    • Virüsler ve diğer zararlı yazılımlar, ADS üzerinden dosya içeriği veya komut dosyaları (scripts) saklayarak, kullanıcıların farkında olmadan zararlı yazılımlar yüklemelerine neden oldular.

    • Kötü niyetli yazılımlar, ADS kullanarak dosyaların görünmeyen kısımlarına zararlı kodlar ekleyebilir ve bu da zararlı yazılımların tespit edilmesini zorlaştırabilir.

  3. Windows ve Internet Güvenliği:

    • 2000'li yılların başında, ADS'nin internet güvenliği ile ilişkisi üzerine daha fazla odaklanıldı. Örneğin, Windows, internete indirilen dosyalar için ADS üzerinden "Zone.Identifier" adlı bir veri akışı ekleyerek, dosyanın güvenli olup olmadığını belirten bilgi eklerdi. Bu, kullanıcılara dosyanın güvenli olup olmadığı hakkında bir gösterge sağlar, ancak aynı zamanda zararlı yazılımların da ADS kullanarak gizlenebileceği bir ortam oluşturur.

    • Bir dosya internette indirildiğinde, Windows bu dosyaya Zone.Identifier akışı ekler. Bu akış, dosyanın internetten geldiğini belirten bir "bilgi akışı"dır.

ADS’in Kullanım Alanları

  1. Dosya Bilgileri ve Meta Veriler:

    • ADS, dosya sistemine ek bilgi eklemek için kullanılabilir. Örneğin, bir dosyanın indirilme zamanı, kaynağı veya dosyanın güvenlik durumu gibi veriler ADS'de saklanabilir.

  2. Dosya Yönetimi ve Güvenlik:

    • NTFS, dosyaların alternatif veri akışlarını saklayarak daha gelişmiş dosya yönetimi sağlar. Örneğin, kullanıcılar dosya içeriğine zarar vermeden dosya ile ilgili meta bilgileri ayrı tutabilirler.

    • Windows Defender ve diğer güvenlik araçları, bu tür alternatif akışları tarayarak zararlı yazılımların dosya sistemine gizlenmesini engellemeye çalışır.

  3. Gizli Veri ve Kötü Amaçlı Yazılımlar:

    • Kötü amaçlı yazılımlar, ADS'i veri saklamak için kullanabilirler. Örneğin, bir virüs, bir programın çalışabilmesi için gerekli kodu dosyanın bir alternatif akışında saklayabilir ve bu akış, kullanıcı veya antivirüs yazılımı tarafından genellikle fark edilmez.

    • Birçok zararlı yazılım, kendisini ADS içinde gizler, bu nedenle tespit edilmesi zorlaşır. Bu gizleme tekniği, özellikle eski antivirüs yazılımları için büyük bir güvenlik açığı oluşturur.

  4. Dosya İndirme ve Güvenlik Uyarıları:

    • Windows, internetten indirilen dosyalar için Zone.Identifier gibi bilgi akışları ekler. Bu akış, dosyanın kaynağını (örneğin, internet) belirterek kullanıcılara dosyanın güvenliği hakkında bilgi verir.

Güvenlik ve ADS

  • Kötü amaçlı yazılım gizleme: ADS, kötü amaçlı yazılımlar tarafından kullanıldığında ciddi bir güvenlik tehdidi oluşturabilir. Çünkü zararlı yazılımlar, sistemde görünmeyen dosya akışlarında gizlenebilir, bu da tespit edilmelerini zorlaştırır.

  • Antivirüs yazılımları: Birçok modern antivirüs yazılımı, ADS'yi tarayarak bu tür gizli verilerin farkına varmayı hedefler. Ancak ADS'yi etkili bir şekilde tespit etmek için daha ileri düzeyde tarama teknikleri gerekebilir.

Sonuç

Alternate Data Streams (ADS), NTFS dosya sisteminin önemli bir özelliğidir ve dosyaların birden fazla veri akışına sahip olmasına olanak tanır. Bu özellik, dosyaların gizli veri saklamasına ve meta verilerin ayrılmasına yardımcı olabilirken, aynı zamanda kötü niyetli yazılımlar tarafından dosya içeriğinin gizlenmesi amacıyla kullanılabilir. Güvenlik açısından, ADS kötü amaçlı yazılımlar için gizlenme alanı sağlasa da, dosya sistemi yönetiminde ve dosya güvenliğinde belirli avantajlar da sunar


***


Alternatif Veri Akışları (ADS) Nedir?
Alternatif Veri Akışları (ADS), yalnızca NTFS dosya sisteminde bulunan bir dosya özelliğidir.

Bu sistemde bir dosya, birkaç özellikten oluşur, bunlardan biri $Data olarak bilinen veri özelliğidir. Bir metin dosyasının düzenli veri akışına baktığınızda, burada gizem yoktur. Sadece metin dosyasının içindeki metni içerir. Ancak bu yalnızca birincil veri akışıdır.

Bu bazen isimsiz veri akışı olarak adlandırılır çünkü bu özelliğin ad dizesi boştur (""). Yani, isme sahip herhangi bir veri akışı alternatif kabul edilir.

Bu veri akışları, gizli verileri yazmak için kullanıldığından kötü bir üne sahiptir. Bu veriler, bir dosyanın nereden geldiği gibi bilgileri içerebileceği gibi, tam zararlı yazılım dosyalarını da içerebilir (örneğin, Backdoor.Rustock.A gibi).

Bir deney yapmaya isterseniz, kolayca bir alternatif veri akışı oluşturabilir ve okuyabilirsiniz.

Veri Akışları

İlk olarak, Sysinternals (sonradan Microsoft tarafından satın alındı) tarafından geliştirilen ve Streams olarak adlandırılan bir araç kullanılabilir (isim, anlamını taşır).

Örnek
Yukarıdaki örnekte, echo komutunu kullanarak, showme adında bir alternatif veri akışına sahip boş bir dosya olan example dosyasını oluşturduk.

Streams kullanarak, hangi dosyaların alternatif veri akışlarına sahip olduğunu kontrol edebiliriz. Yukarıdaki komut istemcisinde görülen sonuçlarda, $Data özelliğin adı (önceden tartışıldığı gibi) ve 8, boyutun ne olduğunu gösterir.

Ancak, bunu incelediğimiz için, alternatif veri akışlarının içinde ne olduğunu görmek isteyeceğiz. Maalesef, Streams bu seçeneği sunmaz.

Get-Item

Windows 8 (veya daha yeni sürümler) kullanıyorsanız, ADS'yi okuma için yerleşik bir seçenek vardır. Bunu başarmak için PowerShell komutlarını kullanabilirsiniz. PowerShell ile ilgili deneyiminiz yoksa, Windows + R tuşlarına basarak PowerShell yazabilir ve bu ekran görüntüsündeki adımları takip edebilirsiniz.

Set-Item

PowerShell ile yapabileceğiniz başka bir şey de dosyaya veri akışları eklemektir. PowerShell komut sözdizimi şu şekildedir:

pgsql
set-content -path {dosyanın yolu} -stream {akış adı}

Bunu yaparak, akışın içeriğini Value[i] altında girebileceğiniz bir cmdlet başlatabilirsiniz.

ADS Araması Yapmak

Bir dizin veya sürücüyü ADS için aramak isterseniz, hedefin kök dizininde şu komutu kullanabilirsiniz:

nginx
gci -recurse | % { gi $_.FullName -stream * } | where stream -ne ':$Data'

Windows dizinini aramanıza dahil ederseniz, muhtemelen çok büyük bir liste alırsınız.

ADS Kaldırmak

Burada bir uyarı yapmak gerekir. ADS'yi kaldırmak her zaman önerilmez. Bazıları, akışları oluşturan yazılımın düzgün çalışması için gereklidir. Bu yüzden, onları kaldırmadan önce araştırma yaptığınızdan emin olun. Sözdizimi şu şekildedir:

lua
remove-item –path {dosyanın yolu} –stream {akış adı}

Malwarebytes Anti-Malware, istenmeyen ADS'leri (örneğin Rootkit.ADS) tarar ve kaldırır.

Özet

Alternatif Veri Akışları (ADS), geçmişte zararlı yazılım yazarları tarafından kötüye kullanılarak verileri bilgisayarlarımızda gizleme kapasitesinden dolayı kötü bir üne sahiptir. Umarım bu makale, ADS hakkında sahip olduğunuz bazı soruları ve gizemi gidermeye yardımcı olur.


Kaynak: https://www.malwarebytes.com/blog/101/2015/07/introduction-to-alternate-data-streams

Labels: , |