Tamanho da fonte: 

Sabe-se que o recurso de Alternate Data Streams, introduzido no Windows N.T 3.1, possibilita que binários de tamanho arbitrário sejam introduzidos em arquivos e pastas sem mudança de hash (conjunto de caracteres que em circunstâncias ordinárias informariam alteração de um arquivo) e sem visibilidade pelo Windows Explorer (MEANS, 2003). Todos os arquivos do Windows estão associados a um registro na Master File Table (Tabela de Arquivos Mestre) dividido em atributos diversos, sendo $DATA o atributo onde ponteiros para o conteúdo efetivo do arquivo são armazenados (L SOFT TECHNOLOGIES INC, 2002). Implementadas para que máquinas Windows pudessem exercer o papel de servidores de conteúdo para clientes Macintosh, as streams alternativas simplesmente associam mais de um atributo $DATA a um arquivo, sendo que somente a stream primária é facilmente acessível. O uso desse recurso por agentes maliciosos foi documentado em diversas ocasiões, como no Trojan bancário brasileiro Quarteto (GLOBAL RESEARCH & ANALYSIS TEAM - KARSPERSKY, 2020) e no spyware de espionagem Gazer (ESET RESEARCH, 2017). Apesar de várias fontes citarem a dificuldade dos produtos antivírus mais populares no mercado em identificar a ameaça (BHARDWAJ, 2022), faltam estudos recentes que atestem empiricamente essa tese. O objetivo deste trabalho é desenvolver um ambiente de simulação de ataque usando Alternate Data Streams, demonstrando seu mecanismo de ação e suas consequências nos sistemas de computação. Usando o Virtualbox, ferramenta que divide os recursos de hardware de uma máquina real entre máquinas virtuais isoladas uma das outras e associadas a um sistema operacional individual (INTERNATIONAL BUSINESS MACHINES, 2019), será desenvolvido um ambiente virtual de análise de malware para comparar o desempenho de diferentes utilitários antimalwares gratuitos, incluindo Windows Defender; Malwarebytes for Windows; Kaspersky Anti-Vírus e Bitdefender Antivirus Free for Windows. O projeto encontra-se em fase de testes. Serão realizados dois testes. Primeiramente, irá se avaliar como o uso do recurso afeta o reconhecimento de uma string inofensiva desenvolvida pelo European Institute for Computer Anti-Virus Research, associada a uma assinatura armazenada nos bancos de dados de muitos produtos antivírus (HAY, 2016). Será utilizada uma string sem alteração e posteriormente demonstrado o impacto da compactação e criptografia do arquivo na performance dos softwares antimalware. O segundo teste envolverá o desenvolvimento de um rudimentar backdoor (uma porta de entrada que fornece acesso a um agente malicioso), usando Python que se comunicará com um servidor de Comando e Controle (C2), hospedado na máquina host (instância Windows onde reside o Virtualbox), usando em particular a biblioteca subprocess, que permite executar comandos particulares ao sistema operacional Windows. Assim, será desenvolvido um executável cuja função é infiltrar o backdoor em um arquivo inócuo. Espera-se que o malware, gerado comprimido ou criptografado em uma stream alternativa, diminua significativamente as chances que este seja revelado.