Malicious Script That Gets Rid of ADS, (Wed, Apr 1st)

1 minute de lecture

Mis à jour : April 02, 2026

Évasion par suppression des flux de données alternatifs (ADS)

Certains logiciels malveillants exploitent une technique de persistance via le registre Windows (Run) tout en dissimulant leurs traces. Une fois le script malveillant copié vers un répertoire local, il exécute une commande PowerShell ciblant le flux de données alternatif (ADS) nommé :Zone.Identifier.

Points clés :

Technique d’évasion : Le malware supprime délibérément le flux :Zone.Identifier (appelé “Mark-of-the-Web” ou MotW) attaché au fichier.
Objectif : Ce flux indique l’origine d’un fichier (ex: Internet). En le supprimant, le fichier semble provenir d’une source locale et légitime, rendant le malware moins suspect lors des analyses forensiques.
Persistance : Le script utilise les clés de registre Run pour assurer son exécution au démarrage du système.
Charge utile : Le script sert de vecteur pour déployer ultérieurement un DonutLoader sur la machine compromise.

Vulnérabilités :

Aucune CVE spécifique n’est associée, il s’agit d’une technique d’évasion utilisant des fonctionnalités natives de Windows (NTFS ADS et PowerShell) pour contourner les mécanismes de sécurité basés sur le marquage des fichiers téléchargés.

Recommandations :

Surveillance des journaux : Auditer les exécutions PowerShell suspectes, notamment celles utilisant les paramètres -w h (hidden) et les commandes visant Remove-Item sur des fichiers suivis de :Zone.Identifier.
Analyse Forensique : Lors d’investigations, vérifier systématiquement la présence et l’intégrité du flux :Zone.Identifier sur les exécutables et scripts suspects.
Sécurité des points de terminaison (EDR/AV) : Configurer les outils de sécurité pour détecter les modifications non autorisées dans les clés de registre de démarrage (HKCU\Software\Microsoft\Windows\CurrentVersion\Run).
Politique d’exécution : Restreindre l’utilisation de PowerShell dans les environnements où cela n’est pas strictement nécessaire, notamment pour les utilisateurs standards.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Malicious Script That Gets Rid of ADS, (Wed, Apr 1st)

Évasion par suppression des flux de données alternatifs (ADS)

Partager sur

Vous pourriez aimer

You’re Not Supposed To ShareFile With Everyone (Progress ShareFile Pre-Auth RCE Chain CVE-2026-2699 & CVE-2026-2701)

RCE pré-authentifiée par chaînage de vulnérabilités dans Progress ShareFile

WhatsApp Alerts 200 Users After Fake iOS App Installed Spyware; Italian Firm Faces Action

Espionnage via des clones malveillants de WhatsApp

US Bans All Foreign-Made Consumer Routers

Restrictions américaines sur l’importation de routeurs étrangers

ThreatsDay Bulletin: Pre-Auth Chains, Android Rootkits, CloudTrail Evasion & 10 More Stories

Actualités de la menace : Chaînes RCE, Rootkits Android et évasion Cloud