ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1096

术语表: /attack/glossary

NTFS 文件属性

每个 New Technology File System(NTFS) 格式化的分区都包含一个主文件表 (MFT),它为分区上的每个文件/目录维护一条记录。在 MFT 条目中有文件属性, 如扩展属性(EA)和数据 [当存在多个数据属性时称为备用数据流(ADS)],可用于存储任意数据(甚至完整的文件)。

攻击者可以将恶意数据或二进制文件存储在文件属性元数据中,而不是直接存储在文件中。这可以用来规避一些防御,例如静态指示器扫描工具和防病毒。

缓解

阻止访问 EA 和 ADS 可能很困难或不可取。 应该集中精力阻止潜在的恶意软件运行。 在适当的情况下使用白名单 工具(如 AppLocker 或软件限制策略 ),识别并拦截可能包含隐藏 EA 和 ADS 中信息的功能的潜在恶意软件。

可以考虑调整 NTFS EA 的读写权限,不过应该对其进行测试以确保不妨碍常规的操作系统操作。

检测

存在用于识别存储在 NTFS EA 中的信息的取证技术。 监视调用 ZwSetEaFile 和 ZwQueryEaFile Windows API 函数以及用于与 EA 交互的二进制文件, 并考虑定期扫描以查找关于修改的信息。

有许多可以使用 Windows 实用程序创建 ADSs 并与之交互的方法。 监视包含冒号的文件名的操作(执行、复制等)。 此语法(例如 file.ext:ads[.ext])通常与 ADS 相关联。 有关可用于执行和创建 ADSs 的更详尽实用程序列表,请参见 https://gist.github.com/api0cradle/cdd2d0d0ec9abb686f0e89306e277b8f。 Sysinternals 的 Streams 工具可用于揭露文件的 ADS。 dir /r 命令也可以用于显示 ADS。 许多 PowerShell 命令(如 Get-Item、Set-Item、Remove-Item 和 Get-ChildItem) 也可以接受-stream 参数来与 ADS 交互。