ADS Zone.Identifier ua

Antwort erstellen

Smilies
:D :) :( :o :shock: :? 8-) :lol: :x :P :razz: :oops: :cry: :evil: :twisted: :roll: :wink: :!: :?: :idea: :arrow: :| :mrgreen: :badgrin: :doubt:
BBCode ist eingeschaltet
[img] ist eingeschaltet
[flash] ist ausgeschaltet
[url] ist eingeschaltet
Smilies sind eingeschaltet
Die letzten Beiträge des Themas
   

Ansicht erweitern Die letzten Beiträge des Themas: ADS Zone.Identifier ua

ADS Zone.Identifier ua

Beitrag von Fennek » 07. Nov 2020, 11:32

Hallo,

Teil der malware Analyse ist es, sich Gedanken über Gegenmaßnahmen zu machen. Denn jede Meldung über einen Ransomeware-Vorfall bedeutet, dass die bestehenden Sicherungen von Microsoft und AV versagt haben.

Seit XP SP2 wird bei vielen Downloads aus dem Netz der Server mit-gespeichert. Mit CMD:>dir /r kann man erkennen, ob zusätzliche ADS (Alternative Data Streams) vorhanden sind, aber den Inhalt zu lesen ist etwas "unhandlich": more < MyXLSM.xlsx:Zone.Identifier.

Für meine Test habe ich ein kleines Powershell-Script geschrieben:

Code: Alles auswählen
function ADS($file){
    $ret = get-item $file -Stream *
    if ($ret.stream.Count -gt 1) {
        for ($i=1; $i -lt $ret.stream.count; $i++) {
            get-content $file -Stream $ret.stream.GetValue($i)
        }
    }
}

$ord = $env:USERPROFILE + '\desktop\'

$files = Get-childitem $ord -Filter *.xlsx

foreach ($file in $files) {
    $file.Name
    ads -file $file.FullName
    '---------------------------------'
}


Vielleicht hilft es jemanden.

mfg

Nach oben