Windows Volume Shadow Copy | Implicaciones de Seguridad

Quizás muchos de vosotros ya hayáis oído hablar del servicio "Volume Shadow Copy" que Windows tiene activado por defecto. En este artículo voy a realizar una introducción a este servicio de Windows y a desvelar algunas de las implicaciones de Seguridad que trae implícito dicho servicio, sobre todo en el ámbito del Análisis Forense / Auditorias y Pentesting.

¿Qué es Volume Shadow Copy?

Este servicio esta presente en Windows desde la primera versión de XP, es el servicio responsable de crear copias de seguridad periódicas de nuestro equipo, con objeto de poder realizar una restauración del sistema,  es lo que normalmente conocemos como "punto de restauración del sistema".

Este servicio (VSS) crea copias ocultas (shadow copy) de cada uno de los bloques de 16k que recibe una variación y/o cambio de estado en la partición NTFS del disco duro. Este servicio realiza las copias de seguridad ocultas cada vez que ocurre una variación en el sistema como fruto de la instalación y/o actualización de un software / aplicación. Se puede decir que la frecuencia de realización de esta copias puede sucederse al menos con la periodicidad de cada dos semanas en Windows 7/8, esto se da por las actualizaciones del Sistema Windows.

La utilización del disco duro suele variar de un Sistema Operativo a otro, por ejemplo en Windows Vista se reserva el 15% de la capacidad total del disco, sin embargo en Windows 7/8 este tamaño es de aproximadamente 5%. Esto por supuesto, también depende de la actividad (cambios) que se detecten en el disco duro del Sistema.

En Windows 8, se ha introducido el "Historial de archivos" (del que ya os hablamos sobre ello en nuestro análisis de Seguridad de Windows 8) donde algunos, con cierto grado de exactitud, han creído que el servicio de copias ocultas de Windows había evolucionado hacia esa nueva característica, nada mas lejos de la realidad, pues el servicio (VSS) sigue siendo el mismo, lo único es que ahora hay una nueva funcionalidad del Sistema Operativo que aprovecha ese servicio.   

No obstante, en Windows 8, el servicio de Volume Shadow Copy se encuentra activo y funcionando por defecto. Esto en parte se debe a que se tiene activado el sistema de protección del Sistema, o lo que es lo mismo, el servicio de "creación de puntos de restauración".

En las referencias os he dejado algunos enlaces para aquellos que deseen profundizar más en el servicio Volume Shadow Copy de Windows, o leer el siguiente documento PDF:Analysis the Windows NT VSS format.

¿Qué implicaciones de Seguridad tiene?

Bruce Schneier ya en 2009, hacia publicas en su blog unas reflexiones sobre las implicaciones de Seguridad que el sistema de copias ocultas (VSS) podía generar, como ejemplo, explicaba que a pesar de usar un programa de "borrado seguro" el documento que había sido borrado seguía estando disponible en los volúmenes ocultos de forma permanente e indefinida.

Además, de los evidentes usos de estos volúmenes en los análisis forenses de equipos con Sistemas Windows, existen algunas otras posibilidades de utilizar estos volúmenes (VSC) en los test de penetración, como por ejemplo:

> Ocultar elementos Malware en el Sistema, lejos de los "ojos" del Administrador del Sistema.
> Acceder a los archivos protegidos del Sistema Operativo, como por ejemplo: SAM, SYSTEM, NTDS.DIT, etc, de forma que se pueden extraer de forma "segura" dichos ficheros sin hacer ruido.
> Encontrar archivos antiguos, que fueron eliminados hace tiempo por el Administrador, como por ejemplo, listas de password.

En particular, unas de las curiosidades que tienen los VSC (Volume Shadow Copy) es que el sistema AV (Antivirus) no tiene acceso a dichas particiones por lo que los ficheros con Malware que añadimos al volumen son indetectables. Sin embargo, si accedemos al volumen y ejecutamos el fichero, el sistema AV en tiempo real detectaría el "Malware" para evitar eso, he encontrado un pequeño truco, consiste en montar el volumen oculto (VSC) como si fuera una unidad de red, evitando así el Análisis por parte del Sistema Antivirus. 

Para manipular estos volúmenes ocultos hace falta algunas herramientas y/o comandos, a continuación analizamos algunas de las herramientas mas interesantes que he encontrado al respecto.

Herramientas para la manipulación de los Volúmenes ocultos de Windows

Desde el punto de vista de #Pentester se hace evidente la necesidad de manipular los volúmenes ocultos (VSC) desde una línea de comandos, pues lo más probable es que si se consigue acceso remoto a un equipo durante un test de penetración sea gracias a una ventana de líneas de comandos remota.

Lo primero es conocer que comandos "nativos" del Sistema operativo se tienen disponibles para manipular dichos volúmenes ocultos, en particular se tiene:

- VSSADMIN : Es la herramienta administrativa del Servicio de Volume Shadow Snapshots (VSS), que permite administrar dichos volúmenes.

- MKLINK : Se utiliza para crear un vinculo simbólico a un objeto del sistema como por ejemplo un volumen VSC.

Una vez se ha creado un enlace simbólico al volumen oculto en cuestión, se tiene pleno acceso al contenido almacenado en él, pudiendo realizar acciones como por ejemplo: copy.

Con el comando MKLINK se puede copiar un fichero malware en el Sistema de manera permanente sin ser detectado por los administradores de Sistemas, aunque con algunas limitaciones, pues en el momento de acceder al volumen podría ser detectado por el sistema de antivirus, por lo que deberá de llevarse a cabo otras acciones complementarías para evitar dicha acción.

Además, se podrá acceder a dichos volúmenes y copiar información del Sistema incluido aquellos archivos / directorios protegidos por el Sistema Operativo, que podrán ser extraídos de manera segura y sin "hacer" ruido.

Truco para evitar el AV, si este no esta configurado para Analizar unidades en Red:

mklink /D c:\temp\drv \\.\GLOBALROOT\Device\HarddiskVolumeShadowCopy14\net share drv=c:\temp\drv
net use f: \\127.0.0.1\drv
f:\malware\backdoor.exe

De esa forma podría evitarse el AV y ejecutar nuestro archivo "maligno", durante el "test de penetración".

También podría utilizar wmic para ejecutar archivos desde el VSC (Volume Shadow Copy) enlazado simbólicamente, tal que así:

wmic process call create \\.\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\windows\system32\cmd.exe 

Por lo que dejo a vuestra imaginación, las múltiples posibilidades que se nos presentan la utilización de los Volúmenes Ocultos (Volume Shadow Copy) en Windows durante un test de penetración.

Otras herramientas

Desde un punto de vista más "forense", existen otras herramienta tanto o más interesantes que las "nativas" al Sistema Operativo, que permiten navegar de forma gráfica por los volúmenes ocultos (VSC).

> The Sleuth Kit (TSK) is a library and collection of command line tools that allow you to investigate disk images.
> VSC Toolset: A GUI Tool for Shadow Copies

En particular ha resultado ser muy útil, la denominada VSC Toolset, de forma que permite identificar los volúmenes existentes, y navegar por el sistema de ficheros de dichos volúmenes  se necesita permisos de administrador para poder realizar dicha navegación. Es una interfaz GUI para los comandos nativos del Sistema Operativo, como podréis comprobar en la capturas de pantalla siguientes.

Para finalizar os dejo unas capturas de pantalla de la herramienta VSC Toolset en acción:

VSC Toolset: Interfaz GUI para vssadmin y mklink

El contenido de este artículo es meramente informativo y/o con fines educativos, no me hago responsable del uso que de él se pueda hacer.

Referencias:

[1] How Volume Shadow Copy Service Works
[2] What Is Volume Shadow Copy Service?
[3] Herramientas ConexiónInversa
[4] The Security Implications of Windows Volume Shadow Copy
[5] Configuring Volumen Shadow Copy on Windows Server 2003
[6] Forensics Wiki: Volume Shadow Copy
[7] Volume Shadow Copies - The Lost Post