Nascondere Dati nel File System: NTFS File Attributes (T1564.004)

La simulazione di questa tecnica in laboratorio è sorprendentemente semplice: il sistema operativo Windows offre nativamente tutto il necessario per creare e leggere Alternate Data Streams.

Il modo più diretto per nascondere un payload in un ADS è il comando type, disponibile in qualsiasi prompt cmd. L'operazione consiste nel redirigere un file binario verso un flusso alternativo agganciato a un file legittimo:

type C:\temp\payload.exe > C:\temp\legit.txt:hidden.exe

Il file legit.txt continuerà a mostrare la sua dimensione originale in Esplora Risorse, ma il binario è ora annidato nel flusso :hidden.exe. Per eseguire il payload nascosto si può ricorrere a wmic:

wmic process call create "C:\temp\legit.txt:hidden.exe"

Anche PowerShell offre un'interfaccia nativa per la gestione degli ADS. Per scrivere un contenuto nel flusso alternativo:

Set-Content -Path C:\temp\legit.txt -Stream secret -Value "payload-data"

Per leggerlo:

Get-Content -Path C:\temp\legit.txt -Stream secret

Per enumerare tutti gli stream associati a un file:

Get-Item -Path C:\temp\legit.txt -Stream *

Un approccio più offensivo prevede l'uso di esentutl (S0404), utility Microsoft legittima per la gestione dei database ESE, che può copiare contenuti dentro un ADS sfruttando la copia binaria raw:

esentutl.exe /y C:\temp\payload.exe /d C:\temp\legit.txt:hidden.exe /o

Analogamente, Expand (S0361) — normalmente usato per decomprimere file da archivi cabinet — può estrarre un payload direttamente in un flusso alternativo:

expand C:\temp\payload.cab C:\temp\legit.txt:hidden.exe

Per simulare l'uso degli Extended Attributes, l'approccio richiede codice custom. In un esercizio red team si può scrivere un piccolo programma C che invochi l'API ZwSetEaFile / NtSetEaFile per depositare un buffer cifrato nell'EA di un file innocuo, replicando la tecnica documentata per Regin e Zeroaccess.

Sul fronte dei tool open source, SharPersist (open source) permette di automatizzare meccanismi di persistenza che includono ADS, mentre framework come Atomic Red Team (open source) contengono test specifici per T1564.004 pronti all'uso per validare le detection del Blue Team.

Un consiglio pratico: dopo ogni simulazione, usa lo strumento Sysinternals Streams (gratuito) per verificare quali ADS hai creato e ripulire l'ambiente:

*streams.exe -s -d C:\temp*

La detection degli ADS richiede visibilità a due livelli: il monitoraggio dei comandi che li creano e il tracciamento a livello kernel delle operazioni sul file system.

Sysmon (gratuito) è il pilastro di questa strategia. L'EventCode 15 — FileCreateStreamHash — scatta ogni volta che viene creato un named file stream e ne registra l'hash. Questo singolo evento è la fonte primaria per individuare la creazione di ADS sospetti. Una regola Sysmon ben calibrata dovrebbe catturare ogni evento con il campo TargetFilename contenente il carattere : seguito da un nome di stream diverso da quelli legittimi noti (come :Zone.Identifier, usato dal browser per il Mark of the Web).

Il secondo livello di telemetria arriva dal provider ETW Microsoft-Windows-Kernel-File, che fornisce visibilità sulle operazioni di I/O a livello kernel, incluse le chiamate ZwSetEaFile e ZwQueryEaFile utilizzate per manipolare gli Extended Attributes. Integrare questi eventi in un SIEM consente di tracciare anche le tecniche EA-based che sfuggono a Sysmon.

Per il tuning dei falsi positivi, la strategia raccomandata si articola su tre assi:

• ADSPathWhitelist: escludere gli ADS creati da processi di sistema o da software antivirus noti (es. Zone.Identifier generato dai browser, o stream creati da tool di backup).
• ProcessScope: restringere il monitoraggio ad alta priorità ai processi parent sospetti — powershell.exe, cmd.exe, wscript.exe, mshta.exe — che non dovrebbero normalmente creare ADS su file in directory sensibili.
• TimeWindow: correlare la creazione di un ADS con l'esecuzione di un processo dallo stesso percorso entro una finestra temporale ristretta (ad esempio 5-10 minuti). Un ADS creato e poi eseguito in rapida successione ha un valore investigativo molto più alto di uno creato isolatamente.

Lato comandi operativi, una query KQL per Microsoft Sentinel che individui la creazione di ADS tramite riga di comando potrebbe filtrare su DeviceProcessEvents cercando pattern come > *:* nelle command line di cmd.exe, oppure il parametro -Stream nelle invocazioni PowerShell. Per le invocazioni di esentutl con flag /y e percorso contenente :, un alert dedicato è fortemente raccomandato, dato che questo living-off-the-land binary viene raramente usato in contesti operativi normali.

La mitigazione M1022 suggerisce di restringere i permessi NTFS sulle directory critiche e di valutare la regolazione dei permessi sugli EA, testando attentamente che le operazioni di sistema non vengano compromesse. Strumenti di File Integrity Monitoring come Wazuh (open source) o OSSEC (open source) possono monitorare le variazioni di permessi e la comparsa di stream anomali su directory sotto osservazione.

L'analisi forense degli Alternate Data Streams e degli Extended Attributes richiede strumenti che operino a livello di struttura raw NTFS, poiché i normali tool di file listing ignorano questi metadati.

Il punto di partenza è il parsing della Master File Table. Lo strumento MFTECmd di Eric Zimmerman (open source) analizza il file $MFT estratto da un'immagine forense e produce un output CSV che elenca ogni record MFT con tutti gli attributi associati, inclusi gli ADS. Ogni entry riporta i timestamp $STANDARD_INFORMATION e $FILE_NAME, la dimensione di ciascun attributo $DATA (inclusi i flussi alternativi) e i flag di allocazione. Filtrando le righe in cui compare più di un attributo $DATA si ottiene immediatamente l'inventario degli ADS presenti sul volume.

Per un'analisi rapida su un sistema live, il già citato Streams di Sysinternals (gratuito) enumera ricorsivamente tutti gli ADS presenti in un albero di directory:

*streams.exe -s C:*

PowerShell offre un'alternativa nativa per l'enumerazione:

Get-ChildItem -Path C:\ -Recurse -Force | Get-Item -Stream * | Where-Object { $_.Stream -ne ':$DATA' }

Questo comando restituisce ogni stream non-default presente nel volume, un artefatto prezioso per la fase di scoping iniziale.

Per gli Extended Attributes, la visibilità è più limitata. Su un'immagine forense, il tool icat della suite The Sleuth Kit (open source) consente di estrarre gli attributi EA da un record MFT specifico per analisi offline. Sul sistema live, il comando fsutil file queryEA <percorso_file> restituisce gli EA associati a un file, permettendo di verificare se contengono dati anomali — una tecnica usata da Regin (S0019) per nascondere eseguibili cifrati e da Zeroaccess (S0027) per depositare dati di configurazione.

Nella costruzione della timeline, gli artefatti ADS si correlano tipicamente con altri indicatori. BitPaymer (S0570) copiava sé stesso nell'ADS :bin di un file appena creato: la presenza di un ADS con questo nome, associata a un timestamp di creazione coerente con altri indicatori di compromissione, costituisce un pivot point investigativo. POWERSOURCE (S0145) scriveva il proprio payload decodificato in un ADS chiamato kernel32.dll sotto %PROGRAMDATA%\Windows\ — un percorso e un nome di stream che non hanno alcuna ragione di esistere in un ambiente legittimo.

Anche Latrodectus (S1160) merita attenzione: utilizza gli ADS per cancellare il proprio file mentre il processo è ancora in esecuzione, una tecnica di self-deletion che lascia tracce nei log USN Journal ($UsnJrnl) sotto forma di record di rinomina e cancellazione con timestamp ravvicinati.

L'USN Journal è infatti il secondo artefatto chiave: ogni operazione di creazione, modifica o cancellazione di stream viene registrata. Analizzarlo con strumenti come MFTECmd (che parsifica anche $UsnJrnl) permette di ricostruire la sequenza temporale completa delle operazioni ADS anche dopo la cancellazione dei file.

L'uso degli attributi NTFS come vettore di occultamento attraversa uno spettro operativo ampio, dallo spionaggio statale al cybercrime finanziario. Analizzare i profili degli attori e dei software che adottano questa tecnica rivela pattern significativi.

APT32 (G0050), il gruppo di matrice vietnamita noto anche come OceanLotus, ha impiegato ADS per nascondere i propri payload durante operazioni di spionaggio. Questa scelta si inserisce in un modus operandi che privilegia la permanenza furtiva su sistemi target per periodi prolungati, dove la capacità di evadere scansioni periodiche dell'antivirus è essenziale. L'uso di ADS da parte di APT32 suggerisce che il gruppo opera in ambienti dove le difese endpoint sono presenti ma non necessariamente configurate per monitorare i flussi NTFS alternativi.

Sul piano dei malware di alto profilo, Regin (S0019) rappresenta un caso distintivo: anziché usare ADS, sfruttava gli Extended Attributes per conservare eseguibili cifrati. Questa scelta architetturale riflette un livello di sofisticazione superiore, poiché gli EA sono ancora meno monitorati degli ADS dalla maggior parte dei tool di sicurezza. Un'analogia progettuale si riscontra in Zeroaccess (S0027), che adottava la stessa strategia EA-based, suggerendo che gli sviluppatori di entrambi i malware avevano una conoscenza approfondita delle strutture interne NTFS.

Nel panorama ransomware e crimeware, il pattern è diverso: WastedLocker (S0612) e BitPaymer (S0570) — entrambi attribuiti al cluster Evil Corp — utilizzano ADS rispettivamente per salvare ed eseguire file e per copiare il payload nell'ADS :bin. L'adozione della stessa sotto-tecnica da parte di due famiglie legate allo stesso ecosistema criminale indica una condivisione di tooling o di practice operative all'interno del gruppo.

Il loader Valak (S0476) e il più recente Latrodectus (S1160) rappresentano l'evoluzione della tecnica nel contesto dei loader-as-a-service: Valak sfrutta gli ADS per salvare ed eseguire componenti aggiuntivi scaricati post-compromissione, mentre Latrodectus li utilizza per una tecnica di self-deletion in-memory — un'applicazione difensiva piuttosto che offensiva dell'ADS. Questo shift funzionale merita attenzione: l'abuso degli ADS si sta espandendo dalla fase di storage/persistenza a quella di anti-forensics.

DEADEYE (S1052) — nella sua variante EMBED — deposita il payload in un ADS di un file locale, una scelta che indica operazioni mirate dove la fase di staging pre-esecuzione è critica. Anche PowerDuke (S0139) nasconde i propri backdoor payload in ADS, confermando che la tecnica è trasversale a operazioni APT di diversi schieramenti.

Il trend emergente è chiaro: la tecnica T1564.004 non è un residuo storico ma un vettore attivo e in evoluzione, con applicazioni che spaziano dallo storage cifrato (Regin) alla self-deletion runtime (Latrodectus). Per l'analista TI, qualsiasi rilevazione di ADS anomali dovrebbe innescare un'indagine che consideri l'intero spettro — dallo spionaggio al ransomware — senza presupporre la natura dell'attore.

Framework MITRE ATT&CK v16 — Tecnica T1564.004 (NTFS File Attributes), Tattica TA0005 (Defense Evasion), Mitigazione M1022, Detection DET0432/AN1206. Gruppi: G0050. Software: S0019, S0027, S0139, S0145, S0168, S0361, S0373, S0397, S0404, S0476, S0504, S0570, S0612, S1052, S1160. Integrato con conoscenza professionale per tool e procedure operative.