Anti Ads Alternate Data Stream
Comment lutter et se défendre contre les ADS (Alternate Data Stream)
|
||||
| |
En 2 mots
Installez et exécutez Le bon anti-trojans
Installez et exécutez Le bon Pare-feu (firewall)
Installez et exécutez Le bon Antivirus
Fermez les ports critiques et désactivez les services critiques avec Zeb Protect
Appliquez tous les correctifs connus aux failles de sécurité avec Microsoft MBSA (ou Microsoft HFNetChk Pro pour l'entreprise)
Appliquez les mises à jour de tous les logiciels installés (pas de manière automatique - en vous tenant informé 1 fois par mois).
Méfiez-vous de tous les téléchargements (P2P, Crack, KeyGen, Codecs et programmes, bien entendu). Testez !
Méfiez-vous des médias (cd, dvd...) utilisés sur un ordinateur (installation d'office de lecteurs, connexion au Net, RootKit à la Sony...)
Désactivez WSH « Windows Scripting Host » avec NoScript
Désactivez ActiveX (même si vous n'utilisez pas Internet Explorer et OutLook)
Naviguez avec Firefox en remplacement de l'infâme Internet Explorer (le générateur de failles en flux continu)
Pour aller plus loin
Interdisez à Internet Explorer et à l'Explorateur de Windows tout accès à l'Internet (règle dans votre pare-feu (firewall)
Installez StrmExt.dll de Microsoft. Voir ci-dessous.
Utilisateur de Windows Server (à partir de 2003 R2), exploitez la commande dirquota.exe.
Utilisateurs de serveurs IIS, analysez avec URLScan.
Passez à Linux.
Pour comprendre
Qu'est-ce qu'une ADS - Alternate Data Stream ?
La destruction d'une ADS - Alternate Data Stream peut s'obtenir, théoriquement, simplement en détruisant l'objet parent (le fichier ou le répertoire) de rattachement (ce qui est scabreux et pas simple du tout car le fichier maître de rattachement peut, lui, être parfaitement légitime ! Il faut alors envisager de copier le fichier sur un support non organisé en NTFS, détruire l'original et restaurer le fichier à partir de sa sauvegarde. Les ADS - Alternate Data Stream racine ne peuvent pas être détruites du tout (sauf à reformater le disque). Heureusement, pour détruire les ADS - Alternate Data Stream, il existe quelques utilitaires très spécialisés (en plus, bien entendu, des grands anti-trojans comme PestPatrol) : Voir les fiches :
Windows Server (à partir de 2003 R2) ajoute une notion de quotas plus fine que précédemment puisqu'elle descend au niveau des répertoires et non plus seulement au niveau des volumes. Utilisez la commande dirquota.exe. Les ADS - Alternate Data Stream sont pris en compte donc la présence de données en flux ADS sera révélée. Voir http://www.microsoft.com/windowsserver2003/R2/trial/default.mspx.
Les sites Web cachés
Un flux ADS - Alternate Data Stream caché peut contenir un site Web entier ! Caché sur un serveur il va exploiter la bande passante et toutes les ressources de celui-ci à l'insu de l'administrateur. Sous IIS, l'usage de URLScan permet de révéler la présence de tels sites squattant un serveur.
StrmExt.dll de Microsoft
Microsoft met également à notre disposition un utilitaire, à télécharger. Dézipper. Une nouvelle archive, StrmExt.zip apparaît. Dézipper. Dans le sous répertoire "ReleaseMinDependency", une dll apparaît : StrmExt.dll. Copier cette dll dans votre répertoire système "system32" (probablement "c:\windows\system32"). Faites "Démarrer > Exécuter" et tapez "regsvr32 StrmExt.dll". Vous devez voir apparaître ce message :
Vous avez, désormais, dans les propriétés des objets (dans l'explorateur de Windows), un nouvel onglet donnant la liste des noms des flux ADS attachés à l'objet et une petite fenêtre permet d'en voir le contenu.
Cet utilitaire permet de détruire un flux ADS :
Installez et exécutez Le bon anti-trojans
Installez et exécutez Le bon Pare-feu (firewall)
Installez et exécutez Le bon Antivirus
Fermez les ports critiques et désactivez les services critiques avec Zeb Protect
Appliquez tous les correctifs connus aux failles de sécurité avec Microsoft MBSA (ou Microsoft HFNetChk Pro pour l'entreprise)
Appliquez les mises à jour de tous les logiciels installés (pas de manière automatique - en vous tenant informé 1 fois par mois).
Méfiez-vous de tous les téléchargements (P2P, Crack, KeyGen, Codecs et programmes, bien entendu). Testez !
Méfiez-vous des médias (cd, dvd...) utilisés sur un ordinateur (installation d'office de lecteurs, connexion au Net, RootKit à la Sony...)
Désactivez WSH « Windows Scripting Host » avec NoScript
Désactivez ActiveX (même si vous n'utilisez pas Internet Explorer et OutLook)
Naviguez avec Firefox en remplacement de l'infâme Internet Explorer (le générateur de failles en flux continu)
Pour aller plus loin
Interdisez à Internet Explorer et à l'Explorateur de Windows tout accès à l'Internet (règle dans votre pare-feu (firewall)
Installez StrmExt.dll de Microsoft. Voir ci-dessous.
Utilisateur de Windows Server (à partir de 2003 R2), exploitez la commande dirquota.exe.
Utilisateurs de serveurs IIS, analysez avec URLScan.
Passez à Linux.
Pour comprendre
Qu'est-ce qu'une ADS - Alternate Data Stream ?
La destruction d'une ADS - Alternate Data Stream peut s'obtenir, théoriquement, simplement en détruisant l'objet parent (le fichier ou le répertoire) de rattachement (ce qui est scabreux et pas simple du tout car le fichier maître de rattachement peut, lui, être parfaitement légitime ! Il faut alors envisager de copier le fichier sur un support non organisé en NTFS, détruire l'original et restaurer le fichier à partir de sa sauvegarde. Les ADS - Alternate Data Stream racine ne peuvent pas être détruites du tout (sauf à reformater le disque). Heureusement, pour détruire les ADS - Alternate Data Stream, il existe quelques utilitaires très spécialisés (en plus, bien entendu, des grands anti-trojans comme PestPatrol) : Voir les fiches :
- ADS Spy (de Merijn) - gratuit - énumération et destruction (ads-spy est également disponible à l'intérieur de HijackThis du même auteur)
- HijackThis (de Merijn) - gratuit - contient ADS Spy.
- ADS Locator (de Patrick Kolla - Spybot Search & Destroy - Safer Networking Limited)
- TDS (de DiamondCS) - commercial
- RootkitRevealer (de SysInternals) - Gratuit - énumération seule - liste blanche
- More (Windows commentée par JC Bellamy) - gratuit - visualisation seule et abracadabrantesque - Mode console
- ShowStream (de JC Bellamy) - gratuit - énumération seule - Mode graphique
- CmdStream (de JC Bellamy) - gratuit - énumération seule - Mode console
- Streams (de SysInternals) - gratuit - énumération seule - Mode console
- StreamDir (de Texas Imperial Software) - Gratuit - énumération seule - Mode console
- CrucialADS ( de Crucial Security) - Gratuit - énumération seule - Mode graphique
- LADS (de Frank Heyne Sofware) - gratuit - énumération seule - Mode console
Windows Server (à partir de 2003 R2) ajoute une notion de quotas plus fine que précédemment puisqu'elle descend au niveau des répertoires et non plus seulement au niveau des volumes. Utilisez la commande dirquota.exe. Les ADS - Alternate Data Stream sont pris en compte donc la présence de données en flux ADS sera révélée. Voir http://www.microsoft.com/windowsserver2003/R2/trial/default.mspx.
Les sites Web cachés
Un flux ADS - Alternate Data Stream caché peut contenir un site Web entier ! Caché sur un serveur il va exploiter la bande passante et toutes les ressources de celui-ci à l'insu de l'administrateur. Sous IIS, l'usage de URLScan permet de révéler la présence de tels sites squattant un serveur.
StrmExt.dll de MicrosoftMicrosoft met également à notre disposition un utilitaire, à télécharger. Dézipper. Une nouvelle archive, StrmExt.zip apparaît. Dézipper. Dans le sous répertoire "ReleaseMinDependency", une dll apparaît : StrmExt.dll. Copier cette dll dans votre répertoire système "system32" (probablement "c:\windows\system32"). Faites "Démarrer > Exécuter" et tapez "regsvr32 StrmExt.dll". Vous devez voir apparaître ce message :
Vous avez, désormais, dans les propriétés des objets (dans l'explorateur de Windows), un nouvel onglet donnant la liste des noms des flux ADS attachés à l'objet et une petite fenêtre permet d'en voir le contenu.
Cet utilitaire permet de détruire un flux ADS :
| Historique des révisions de ce document : |
|
29.10.2006 Up V4
|
Rédigé en écoutant :
Music
Music