Neuer GhostTree-Angriff lässt EDR-Produkte hängen und hinterlässt ungescannte Dateien
Eine neuartige Ausweichtechnik namens GhostTree nutzt NTFS-Verknüpfungen, um rekursive Verzeichnis-Schleifen zu erzeugen.

Kurzfassung
Warum das wichtig ist
- Eine neuartige Ausweichtechnik namens GhostTree nutzt NTFS-Verknüpfungen, um rekursive Verzeichnis-Schleifen zu erzeugen.
- Diese Methode wurde und führt EDR-Scanner (Endpoint Detection and Response) in unendliche Pfade, wodurch diese einfrieren und bösartige Payloads ignorieren.
- NTFS-Verknüpfungen fungieren als erweiterte Verknüpfungen, die Anwendungen nahtlos anderen umleiten.
SvyTech-Check
Redaktionelle Einordnung
Kernpunkt
Eine neuartige Ausweichtechnik namens GhostTree nutzt NTFS-Verknüpfungen, um rekursive Verzeichnis-Schleifen zu erzeugen.
Warum relevant
Bedrohungsakteure bevorzugen diese Funktion, da die Erstellung einer Verknüpfung lediglich Standard-Schreibrechte erfordert und keine Administratorrechte.
Einordnung
SvyTech ordnet die Meldung aus Cyber Security News als Teil des Themenfelds Technologie ein und verweist auf den Originalartikel, damit Leser Fakten, Quelle und Kontext nachvollziehen koennen.
Bedrohungsakteure bevorzugen diese Funktion, da die Erstellung einer Verknüpfung lediglich Standard-Schreibrechte erfordert und keine Administratorrechte. Angreifer führen einfach den Befehl mklink /J im Windows-Terminal aus, um einen neuen Pfad mit einem Zielverzeichnis zu verknüpfen.
GhostTree-Angriff auf EDR: Obwohl das NTFS-Dateisystem nativ erweiterte Pfade unterstützt, schränken Legacy-Softwarelösungen die praktische Pfadtiefe im gesamten Betriebssystem stark ein.
Klassische Windows-Architekturen erzwingen eine strikte maximale Pfadlänge von 260 Zeichen, was letztlich begrenzt, wie tief rekursive Verzeichnis-Schleifen ausgedehnt werden können. Der grundlegende GhostBranch-Angriff besteht darin, dass ein Angreifer eine Verknüpfung erstellt, die ein Kindverzeichnis direkt auf sein übergeordnetes Verzeichnis verweist.
Technik und Auswirkungen
Diese Fehlkonfiguration erzeugt einen logischen Zyklus, bei dem das Kindverzeichnis unendlich oft den Inhalt des übergeordneten Verzeichnisses – einschließlich sich selbst – repliziert. Angreifer, die Einbuchstaben-Verzeichnisnamen verwenden, können Verzeichnisse bis zu einer maximalen Tiefe 126 Ebenen verschachteln.
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Canonical
- https://cybersecuritynews.com/ghosttree-attack-edr-products/
- Quell-URL
- https://cybersecuritynews.com/ghosttree-attack-edr-products/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.

Chinesisches KI-Startup Dongfang Suanxin kündigt 3D-Chip-Technologie als Antwort auf US-Embargo an
Das 2024 gegründete chinesische KI-Chip-Unternehmen Dongfang Suanxin, geleitet , hat angekündigt, durch den Einsatz Stapelarchitektur sowie einer vollständig in China zentrierten Lieferkette die US-Exportbeschränkungen zu umgehen. Diese Strategie zielt darauf ab, ein eigenständiges Ökosystem für Hochleistungsrechner aufzubauen und die physikalischen Grenzen des Mooreschen Gesetzes im Zeitalter nach der traditionellen Skalierung zu überwinden.
05.07.2026
Live Redaktion


