Technique - T1096-

T1096 - NTFS File Attributes

概要

Every New Technology File System (NTFS) formatted partition contains a Master File Table (MFT) that maintains a record for every file/directory on the partition. (Citation: SpectorOps Host-Based Jul 2017) Within MFT entries are file attributes, (Citation: Microsoft NTFS File Attributes Aug 2010) such as Extended Attributes (EA) and Data [known as Alternate Data Streams (ADSs) when more than one Data attribute is present], that can be used to store arbitrary data (and even complete files). (Citation: SpectorOps Host-Based Jul 2017) (Citation: Microsoft File Streams) (Citation: MalwareBytes ADS July 2015) (Citation: Microsoft ADS Mar 2014)

Adversaries may store malicious data or binaries in file attribute metadata instead of directly in files. This may be done to evade some defenses, such as static indicator scanning tools and anti-virus. (Citation: Journey into IR ZeroAccess NTFS EA) (Citation: MalwareBytes ADS July 2015)

管理者によるコメント

T1096「NTFS File Attributes」（NTFSファイル属性） は、WindowsのファイルシステムであるNTFSの標準機能である 「代替データストリーム（ADS: Alternate Data Streams）」 を悪用し、ファイルやコードを隠蔽するテクニックです。

1. 概要

この手法で攻撃者は、「正規のファイルの中身とは別の場所に、別のデータを隠し持つこと」を実現します。

何を実現できるのか:

*   **不可視化:** エクスプローラーや標準の `dir` コマンド（オプションなし）では見えない場所に、マルウェア本体や設定ファイルを隠す。
*   **検知回避:** ファイルサイズが0バイトに見える、あるいは正規のファイル（画像やテキスト）のサイズしか表示されないため、不審な大容量ファイルとして検知されにくい。
*   **コードの実行:** 隠したデータストリームから直接バイナリを実行したり、スクリプトを呼び出したりする。

2. 攻撃の流れ

NTFSのファイルは、メインのデータストリーム（::$DATA）以外に、名前の付いた別のストリームを持つことができます。

データの隠蔽: コマンドプロンプトなどで、コロン（:）を使ってデータを作成します。
- 例: type evil.exe > readme.txt:hidden.exe
- 結果: readme.txt の見た目やサイズは変わりませんが、その背後に hidden.exe が隠されます。
情報の確認: dir /r コマンドを実行すると、ファイルに付随するストリーム名が表示されます。
隠したコードの実行: wmic や start コマンド、あるいは特定のWindows APIを介して、隠したストリームを直接実行します。
- 例: start readme.txt:hidden.exe

3. 防御・対策

「見えない場所がある」ことを前提とした監視が必要です。

EDRによるストリーム作成の監視: ファイル名に :（コロン）が含まれる書き込み操作を監視し、特に実行ファイルやスクリプトがストリームに書き込まれた場合にアラートを上げます。
フォレンジックツールの活用: 標準のコマンドではなく、ADSをスキャンできる専用のツール（Sysinternalsの Streams など）を使用して、定期的に異常なストリームがないか検査します。
不審なプロセスの親子関係: wmic や powershell がファイル内のサブストリームを実行しようとする挙動をブロックします。

4. 重要ポイント

ファイルそのものが消えても残る場合がある: 特定のコピー操作（ADS非対応の媒体への移動など）以外では、メインファイルと一緒に移動・保存されます。
「Zone.Identifier」という正規の利用: インターネットからダウンロードしたファイルに付く「このファイルは危険かもしれません」というマーク（MotW: Mark of the Web）も、実はこのADS機能を使って記録されています。攻撃者はこれを削除して警告を消すこともあります。

5. 関連する主なCWE

CWE-39: Path Traversal: '.../' (Alternate Data Streams): 攻撃者がファイルパスの指定にADSの記法を紛れ込ませ、セキュリティチェックをバイパスする脆弱性。
CWE-20: Improper Input Validation: ファイル名やパスに対する入力値検証が不十分で、ADSの特殊な構文を許容してしまう問題。

6. 関連する代表的なCVE

T1096自体はファイルシステムの仕様悪用ですが、これに関連したバイパス事例があります。

CVE-2022-41091: Windows MotW（Mark of the Web）のバイパス脆弱性。ADSに書き込まれるセキュリティフラグを操作または不正な形式にすることで、保護機能を無効化する攻撃に関連します。
CVE-2021-1647: Windows Defenderの脆弱性。スキャンエンジンが特定の条件下でADS内の悪意あるコードを正しく処理できない、あるいは回避されるケースに関与することがあります。

豆知識: 古い攻撃手法と思われがちですが、現代のマルウェア（Gootkitや各種ランサムウェア）も、自身の構成ファイルやメインのペイロードを隠すために、今なお好んでADSを使用します。

分析

この攻撃手法を利用する脅威アクター

この攻撃手法を利用する脅威アクターは登録されていません。

攻撃手法 – 脅威アクター Graph

← Technique一覧に戻る ← Tactics一覧に戻る

Trusted Design