ADS Kullanarak Veri Gizleme ve Steganography Tekniği

Merhaba, bu makalemizde bazı yöntemler kullanarak ‘veri gizleme‘ konusuna değineceğiz.

Alternate Data Streams (ADS) Nedir?
Alternatif Veri Akışı (Alternate Data Streams – ADS) Microsoft dosya sistemi olan NTFS’nin ortaya çıkışından beri ismi anılan bir terimdir. NTFS dosya sistemi Microsoft mühendisleri tarafından geliştirilirken Macintosh’un eski işletim sistemi olan HDS’i desteklemek amaçlı oluşturulmuştur. HFS çalışma mantığı olarak bir dosyayı iki parçaya bölerek çalışmakta ve dosya ayarlarını gizli olarak orijinal dosyanın içinde tutmaktaydı. Bu desteği NTFS dosya sistemine de entegre etmek isteyen Microsoft aslında hackerların çok fazla kullanacağı bir açığı farkına varmadan oluşturmuştu.

Bu açık herhangi bir dosyanın içine başka dosya ve dosyalar gizlemeyi sağlıyordu. Günümüzde de en çok kullanılan dosya saklama yöntemi haline geldi. Bu açık sayesinde 1 kb’lık bir metin belgesinin içerisine boyutunu kesinlikle değiştirmeden 100′lerce megabyte veri saklamak mümkün! Veriyi sadece tam olarak hangi isimle nerde olduğunu bilen kişi çalıştırabilir.

Örneklerle başlayalım;

Bir metin belgesinin içinde gizli başka bir metin belgesi oluşturmak
Windows komut satırını (cmd) açınız

  • C:notepad.exe deneme.txt
    (C diskinde deneme.txt isimli bir belge oluşturacaktır, içine herhangi birşeyler yazın ve kaydedin)
  • C:notepad.exe deneme.txt:gizli.txt
    (ADS olarak gizli veriyi deneme.txt dosyasının içine yerleştirelim. Notepad bu isimde bir dosya olmadığını ve oluşturmak isteyip istemediğinizi soracaktır. Onaylayarak içine ilk dosyaya yazdığınızdan farklı bir yazı girin, kaydedip kapatın)
  • Daha sonra dosyayı oluşturduğumuz C dizinine gidin, sadece deneme.txt’yi göreceksiniz. Klasör seçeneklerinden gizli dosyaları ve sistem korunan dosyalarını görünür hale getirin, dosya yine görünmeyecektir!
  • Ancak bu dosyayı ismini bilen bir kişi açabilir: C:notepad.exe deneme.txt:gizli.txt

Eveet şimdi bunu uygulamalı olarak videoya aldım bir de bu açıdan bakın:

Bir Belge İçine Çalıştırılabilir Program Gizlemek

  • C:type c:hacker.exe > metin.txt:hacker.exe
    (ADS olarak gizli programın metin.txt içine yerleştirilmesi)
  • C:start c:metin.txt:hacker.exe
    (Gizlenmiş programı çalıştıracaktır)

Peki sistemimde bu şekilde gizlenmiş veriler var mı?
Öncelikle ADS NTFS dosya sisteminin bir özelliği olduğu için şüpheli dosyaları herhangi bir fat32 dosya sistemindeki diske taşırsanız dosya içinde bulunan gizli metin ya da dosyalar silinecektir. Elbette tüm dosyalarımızı taşımamız mümkün olmadığından bazı yazılımlara ihtiyacımız olacak.

ADS Tespit Edebilen Yazılımlar

LNS
Belirtilen dizin içindeki tüm dosyaları tarayabilen ADS tespit aracıdır. İçinde gizli veri olan dosyaları tespit edebilir, fakat gizli veriyi ayırma işlemini gerçekleştiremez.
Detaylı bilgi http://ntsecurity.nu/toolbox/lns/

GMER
Sistemimizde bulunan ADS ile gizlenmiş verileri tespit edebilir. Bunun yanında çalışan gizli programları servisleri ve rootkitlerin tespitinde kullanılabilir.
Detaylı bilgi http://www.gmer.net/index.php

Visual ADS Detector
Görsel olarak gizli veriyi tespit eden ve içeriğinin görüntülenmesini sağlayan yazılımdır. Aynı zamanda veri gizlemeyi de sağlar.
Detaylı bilgi http://www.codeproject.com/KB/shell/csadsdetectorarticle.aspx

Steganography (Steganografi)

Steganografi, eski Yunanca’da ‘gizlenmiş yazı’ anlamına gelir ve bilgiyi gizleme (şifreleme değil) bilimine verilen isimdir. Çok kullanılan popüler bir veri saklama türü olan steganography, resim içine gizli veri saklamak için kullanılan bir tekniktir. Özellikle yasadışı örgütlerin gizli veri taşımak için çok kullandıkları bir yöntemdir. Resmin içine veri gizleyen kişi aynı zamanda içerikteki gizli veriyi şifreleyebilir.. Sadece şifreyi bilen kişi dökümanı açabilir!

Resim dosyalarına veri saklama;

– Resim dosyasında çıplak gözle anlaşılacak bir değişiklik olmaz
– Boyut ve hash değişikliği
– Özel yazılımlar kullanılarak saklanan veri şifrelenebilir
– Veriyi geri getirmek için anahtar kullanılır
– Anahtara yönelik brute-force saldırıları düzenlenebilir

Peki hangi programlar Steganography teknikleriyle veri gizleyebilir?

ImageHide
Resimlerin içine veri gizlemeyi sağlayan bir steganografi aracıdır. Şifreleme yapabilir, resim içindeki gizli veriyi sadece şfireyi bilen kişi açabilir. Resim görüntüsünde bozulma olmaz.
Detaylı bilgi http://www.dancemammal.com

Online Steganography
Detaylı bilgi http://kwebbel.net/stega/enindex.php

TinEye:Reverse Image Search
Verilen bir resim dosyasının başka hangi sitelerde geçtiğini bulmaya yarar.
Ayrıca Mozilla Firefox eklentisi de bulunmaktadır: https://addons.mozilla.org/en-US/firefox/addon/tineye-reverse-image-search/
Detaylı bilgi http://www.tineye.com/

Mp3Stego

Mp3 dosyalarının içine veri gizlemeyi sağlayan araçtır. Mp3Stego içine veri gizleyeceği dosyayı wav dosyası olarak kabul eder ve veriyi gizledikten sonra formatı mp3′e dönüştürür.

Detaylı bilgi http://www.petitcolas.net/fabien/steganography/mp3stego/

 

Stego Video
Herhangi bir video dosyasının içine gizli veri saklayabilir. Gizli haberleşme için kullanılan programlardan biridir.
Detaylı bilgi http://www.compression.ru/video/

Snow
Çeşitli dosya türlerine veri gizleyebilen ufak bir yazılımdır. Veri tespit edilse bile sadece şifreyi bilen kişi veri içeriğini görüntüleyebilir.
Kullanımı;

  • C:Snow.exe -C -m “gizli veri” -p “password” deneme.txt deneme2.txt
    (Gizli veri metnini password ile şifreleyerek ve deneme.txt’yi kullanarak deneme2.txt adlı gizli verinin olduğu dosyayı oluşturur)
  • C:Snow.exe -C -p “password” deneme2.txt
    (deneme2.txt içindeki gizli veriyi password şifresini kullanarak açar)

Detaylı bilgi http://www.jjtc.com/Security/stegtools.htm

Steganography Nasıl Tespit Edilir

İnternet üzerinde steganography tespiti için pek çok araştırmanın bilgileri olsa da ciddi anlamda steganography’i tespit edip içindeki verileri çıkartabilen kesin sonuç verebilen yazılımlar mevcut değildir. Yine de kısıtlı da olsa steganography tespitinde kullanılan araçlardan bahsetmekte fayda var;

Stegdetect resim içerisindeki veriyi tespit etmek için kullanılan bir araçtır.

Stegbreak gizli verilerin şifrelerini kırmak için sözlük saldırısı yapabilen bir araçtır. Jsteg-shell, Jpeghide ve OutGuess ile gizlenmiş verileri için kullanılabilir.

SIDS (stego intrusion detection system) yine tespit amaçlı kullanılan bir yazılımdır.

– Steganography konusunda en önemli ticari yazılımlar sunan firma Wetstone firmasıdır.
Detaylı bilgi https://www.wetstonetech.com/

İlginizi çekebilecek farklı bir konu yazmak istedim. Umarımki öyle olmuştur ve fayda sağlamıştır.. Güvenli günler diliyorum…

Furkan SANDAL

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.