det0432-detection-strategy-for-ntfs-file-attribute-abuse-adseas

# DET0432 — Detection Strategy for NTFS File Attribute Abuse (ADS/EAs) ## Descrição O sistema de arquivos NTFS suporta Alternate Data Streams (ADS) — fluxos de dados adicionais que podem ser anexados a qualquer arquivo usando a sintaxe `arquivo.txt:stream_name`. Esses streams são invisíveis ao Windows Explorer e à maioria das ferramentas de análise básicas, mas executáveis neles armazenados podem ser iniciados diretamente. Adversários utilizam ADS para ocultar payloads, ferramentas de persistência e scripts sem alterar o tamanho ou conteúdo visível do arquivo hospedeiro. Além dos ADS, atributos estendidos (Extended Attributes) do NTFS também podem armazenar dados ocultos. Arquivos de zona de segurança do Windows (Zone.Identifier stream) indicam a origem de downloads da internet — a remoção desse stream é uma técnica para contornar proteções de Mark-of-the-Web. A criação de streams com nomes que imitam atributos legítimos do sistema é uma forma de camuflagem adicional. A detecção de abuso de ADS requer ferramentas ou configurações que inspecionem streams alternativos: `dir /r` no Windows lista streams, `Get-Item -Stream *` no PowerShell, e soluções EDR com suporte a NTFS monitoring. Sysmon pode ser configurado para detectar criação de streams alternativos específicos. O uso de `type nul > arquivo.txt:payload.exe` ou escrita em streams via PowerShell são os principais vetores de criação. ## Indicadores de Detecção - Criação de ADS com extensões executáveis (`:payload.exe`, `:script.ps1`) em arquivos de sistema ou documentos - Execução de processo originado de ADS (caminho contendo `:` após o nome do arquivo) - Remoção do stream `Zone.Identifier` de arquivos recém-baixados via `command.exe` ou PowerShell - Sysmon Event ID 15 (FileCreateStreamHash) — criação de ADS por processos não esperados - Acesso a arquivos com múltiplos streams de dados em diretórios de sistema ou startup ## Técnicas Relacionadas - [[T1564004-ntfs-file-attributes|T1564.004 — NTFS File Attributes]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1036-masquerading|T1036 — Masquerading]] ## Analytics Relacionadas - [[an1206-analytic-1206|AN1206 — Analytic 1206]] --- *Fonte: [MITRE ATT&CK — DET0432](https://attack.mitre.org/detectionstrategies/DET0432)*