Parece ser que este malware al igual que algunos hackers es capaz de modificar todos los atributos de un archivo o carpeta, como fechas de acceso, creación y escritura, con el objetivo de pasar desapercibido por parte del administrador o usuario del sistema infectado
De todas las cosas que este malware hace, hay una que me hizo pensar especialmente en una característica que tiene que ver en como funciona la estructura de disco y ficheros en windows.
TABLA MAESTRA DE FICHEROS - MTF
Por regla general los ficheros que se almacenan en disco con sistema de ficheros NTFS se registran en la tabla maestra de ficheros, comunmente conocida como MTF.
La MFT es, en esencia, una tabla de base de datos relacional, que contiene atributos sobre los diferentes archivos. Digamos que actúa como punto de inicio de un volumen NTFS - una especie de "tabla de contenidos". También sería análogo a la tabla de asignación de archivos en una partición FAT
Cuando cualquier archivo o directorio se crea en el volumen NTFS, se crea un registro dentro de la MFT. El tamaño de cada registro en la MFT parece ser una cuestión de cierta controversia, por lo que yo he observado es que cada registro es igual al tamaño del clúster del volumen, siendo un mínimo de 1024 bytes y un máximo de 4096. Sin embargo, algunas fuentes dicen que el tamaño de cada MFT registro es fijo, ya sea en 1024 o 2048 bytes.
El sistema utiliza estos registros de MFT para almacenar información sobre el archivo o directorio, esta información es lo que entendemos como atributos.
Como no tengo ningún conficker (¡¡ ni lo quiero !!) me he propuesto ver si se puede saber si un fichero ha sido alterado en su atributo de fecha ( timestamp).
Para ello me he surtido de un conjunto de utilidades llamado 'FileOPS' (también se puede hacer con perl y powershell) que entre otras cosas permite cambiar el atributo de fechas de uno o varios ficheros, en la siguiente pantalla podemos ver como he modificado un fichero llamado 'CONFIDENCIAL.TXT y le he puesto que la fecha de acceso, modificación y creación pertenecen al 12 de febrero del 2010.
Por su puesto todas las operaciones que se realicen con este fichero tendrán como partida el año 2010, si un hacker o malware hubiera puesto las fechas de instalación del sistema operativo, hubiera pasado a simple vista desapercibido.
Para su comprobar el almacenamiento en el registro del MTF, voy abrir el disco con un editor hexadecimal, para ello voy a utilizar el programa 'HxD' que se puede descargar desde aquí (cualquier editor hexadecimal es valido).
Si nos fijamos en la siguiente pantalla y una vez posicionados en el $MTF (nombre reservado por windows para la tabla maestra de ficheros) vemos que la entrada 'a pelo' del fichero contiene la fecha original de cuando se creo, es decir el día 24 de Marzo de 2009, por lo tanto windows (MTF) si que almacena la fecha original del fichero, aunque por otro lado nos miente en su visualización.
Si esto mismo lo hacemos utilizando la herramienta forense por excelencia EnCase, vemos que en su lectura del MTF también detecta la fecha correcta y no la que se visualiza.
CONCLUSIONES
Como dijo una vez mi amigo Juanito (del diario de juanito), toda intrusión, todo roce, hasta un apreton de manos deja un rastro. En nuestro caso a Windows le ocurre lo mismo.
Al final realmente disponemos de las fechas originales en los registro MTF, el problema es que hay muy pocas herramientas forenses (de código abierto) que hagan una comparativa en un entorno 'vivo' o 'encendido'. Excepcionalmente este problema lo tiene solucionado las herramientas especificas y profesionales como EnCase que si se encargan de realizar este tipo de verificaciones.
FUENTE Y COPIA:
http://conexioninversa.blogspot.com/2009/03/detectando-timestamp-i.html
Entradas
No hay comentarios:
Publicar un comentario