เปิดเผยโลกที่ซ่อนอยู่: ทำความรู้จักกับ Alternate Data Streams (ADS)
หากคิดว่าสิ่งที่มองเห็นในระบบไฟล์ของ Windows คือทั้งหมดที่มี อาจต้องเปลี่ยนความคิดใหม่ เพราะระบบปฏิบัติการนี้มี “ช่องทางข้อมูลสำรอง” หรือที่เรียกว่า Alternate Data Streams (ADS) ที่ซ่อนอยู่ ซึ่งเป็นพื้นที่พิเศษที่มองไม่เห็นได้ด้วยตาเปล่าใน File Explorer ทั่วไป และมันมีความสามารถซ่อนเร้นที่ทั้งเป็นประโยชน์และเป็นภัยต่อความปลอดภัย
นี่คือโลกที่ข้อมูลสามารถถูกฝังลึกเข้าไปในไฟล์อย่างแนบเนียน โดยที่ผู้ใช้งานส่วนใหญ่อาจไม่เคยรู้มาก่อน
ADS คืออะไรและทำงานอย่างไร
Alternate Data Streams (ADS) คือคุณสมบัติเฉพาะของระบบไฟล์ NTFS ที่ทำให้สามารถเก็บข้อมูลหลายส่วนไว้ในไฟล์เดียวได้
ลองนึกภาพว่าไฟล์หนึ่งไฟล์ไม่ได้มีแค่เนื้อหาหลักอย่างเดียว แต่ยังมี “ช่อง” หรือ “สตรีม” อื่นๆ ที่สามารถเก็บข้อมูลเพิ่มเติมได้อีก
โดยปกติแล้ว เมื่อสร้างไฟล์ เช่น document.txt ข้อมูลจะถูกเก็บไว้ในสตรีมหลัก แต่ด้วย ADS เราสามารถเพิ่มสตรีมย่อยเข้าไปได้ในรูปแบบ filename:stream_name เช่น document.txt:secret_data.txt
ข้อมูลที่อยู่ใน secret_data.txt นี้จะมองไม่เห็นหากเปิด document.txt ปกติ
ทำไมถึงต้องมี ADS
เดิมที ADS ถูกออกแบบมาเพื่อให้ระบบปฏิบัติการ Windows สามารถเข้ากันได้กับระบบไฟล์ของ Macintosh ที่ใช้ “Resource Forks” เพื่อเก็บข้อมูลแยกส่วน เช่น ไอคอน หรือข้อมูลเมตาต่างๆ
ในปัจจุบัน Windows ก็ใช้ ADS เพื่อวัตถุประสงค์ที่ไม่เป็นอันตรายหลายอย่าง
ตัวอย่างที่เห็นได้ชัดคือเมื่อดาวน์โหลดไฟล์จากอินเทอร์เน็ต จะมีการเพิ่มสตรีมชื่อ Zone.Identifier เข้าไป เพื่อระบุว่าไฟล์นั้นมาจากโซนอินเทอร์เน็ต และเพื่อให้ Windows แสดงคำเตือนด้านความปลอดภัยเมื่อพยายามเปิดไฟล์นั้น ซึ่งเป็นกลไกป้องกันเบื้องต้นที่ดี
ความเสี่ยงที่ซ่อนอยู่
แม้จะมีประโยชน์ แต่ ADS ก็กลายเป็นเครื่องมืออันทรงพลังสำหรับผู้ไม่ประสงค์ดีในการ ซ่อนข้อมูล และ รันโค้ด ที่เป็นอันตราย
แฮกเกอร์สามารถใช้ ADS เพื่อ:
- ซ่อนมัลแวร์: ฝัง มัลแวร์ หรือสคริปต์ที่เป็นอันตรายไว้ในสตรีมที่ซ่อนอยู่ของไฟล์ปกติ ทำให้เครื่องมือป้องกันไวรัสทั่วไปมองข้ามไปได้ง่ายๆ
- การซ่อนข้อมูล: ใช้เป็นช่องทางในการซ่อนข้อมูลที่ถูกขโมย หรือใช้เป็นช่องทางในการสื่อสารกับเซิร์ฟเวอร์ควบคุม (C2) โดยที่ไม่มีการสร้างไฟล์ใหม่ให้ตรวจจับได้
- การรันโค้ดอย่างลับๆ: แม้แต่ไฟล์ปฏิบัติการ (
.exe) ก็สามารถถูกฝังไว้ในสตรีมที่ซ่อนอยู่ และถูกเรียกใช้งานได้โดยตรง ทำให้การโจมตีเป็นไปอย่างแนบเนียนและยากต่อการสืบสวน
ตรวจจับ ADS ได้อย่างไร
การมองเห็น ADS ต้องใช้เครื่องมือพิเศษ ไม่ใช่แค่การเปิด File Explorer ทั่วไป
- คำสั่ง
dir /r: ใช้ใน Command Prompt เพื่อแสดงสตรีมข้อมูลทางเลือกที่เกี่ยวข้องกับไฟล์ในไดเรกทอรี - PowerShell: ใช้คำสั่ง
Get-Item -Stream *เพื่อดูสตรีมทั้งหมดของไฟล์หรือไดเรกทอรีที่ระบุ - เครื่องมือเฉพาะทาง: มีโปรแกรมของบุคคลที่สามที่ออกแบบมาเพื่อสแกนและจัดการ ADS โดยเฉพาะ ซึ่งช่วยในการ ตรวจสอบ และทำความสะอาดระบบ
ปกป้องระบบจากภัยคุกคาม ADS
การตระหนักถึงการมีอยู่ของ ADS เป็นก้าวแรกของการป้องกัน ภัยคุกคามทางไซเบอร์
เพื่อให้ระบบปลอดภัย ควร:
- สแกนและตรวจสอบ: ใช้เครื่องมือที่สามารถตรวจจับ ADS ที่ไม่พึงประสงค์ได้เป็นประจำ
- เฝ้าระวังพฤติกรรม: แม้ไฟล์จะถูกซ่อน แต่การทำงานของโปรแกรมที่ซ่อนอยู่ใน ADS ก็ยังคงสร้างพฤติกรรมที่ผิดปกติได้ การติดตั้งระบบ EDR (Endpoint Detection and Response) จะช่วยตรวจจับพฤติกรรมเหล่านี้
- ระมัดระวังไฟล์ที่ดาวน์โหลด: ตรวจสอบไฟล์ที่ดาวน์โหลดมาจากแหล่งที่ไม่น่าเชื่อถือเสมอ และพยายามใช้ระบบปฏิบัติการที่อัปเดตอยู่เสมอ เพื่อรับการแก้ไขช่องโหว่ล่าสุด
โลกดิจิทัลเต็มไปด้วยสิ่งที่มองไม่เห็น การเข้าใจกลไกอย่าง Alternate Data Streams จึงเป็นสิ่งสำคัญที่จะช่วยให้เราใช้งานคอมพิวเตอร์ได้อย่างปลอดภัย และรู้เท่าทันการโจมตีที่อาจมาในรูปแบบที่ซับซ้อนและลับลวงพรางยิ่งขึ้น