Neuer GhostTree-Angriff lässt EDR-Produkte hängen und hinterlässt ungescannte Dateien

Bedrohungsakteure bevorzugen diese Funktion, da die Erstellung einer Verknüpfung lediglich Standard-Schreibrechte erfordert und keine Administratorrechte. Angreifer führen einfach den Befehl mklink /J im Windows-Terminal aus, um einen neuen Pfad mit einem Zielverzeichnis zu verknüpfen.

GhostTree-Angriff auf EDR: Obwohl das NTFS-Dateisystem nativ erweiterte Pfade unterstützt, schränken Legacy-Softwarelösungen die praktische Pfadtiefe im gesamten Betriebssystem stark ein.

Klassische Windows-Architekturen erzwingen eine strikte maximale Pfadlänge von 260 Zeichen, was letztlich begrenzt, wie tief rekursive Verzeichnis-Schleifen ausgedehnt werden können. Der grundlegende GhostBranch-Angriff besteht darin, dass ein Angreifer eine Verknüpfung erstellt, die ein Kindverzeichnis direkt auf sein übergeordnetes Verzeichnis verweist.

Technik und Auswirkungen

Diese Fehlkonfiguration erzeugt einen logischen Zyklus, bei dem das Kindverzeichnis unendlich oft den Inhalt des übergeordneten Verzeichnisses – einschließlich sich selbst – repliziert. Angreifer, die Einbuchstaben-Verzeichnisnamen verwenden, können Verzeichnisse bis zu einer maximalen Tiefe 126 Ebenen verschachteln.

GhostTree verstärkt diese Bedrohung exponentiell, indem es mehrere Kindverzeichnisse auf dasselbe übergeordnete Verzeichnis verlinkt. Diese Konfiguration mit zwei Knoten erzeugt etwa 21262^{126}2126 verschiedene Dateipfade und stellt damit eine astronomische Anzahl ausführbaren Datei dar.

Die resultierende Verzeichnisstruktur ähnelt einem komplexen Binärbaum, der rekursiv verzweigt, bis er die Grenzen des Betriebssystems erreicht. EDR-Scan-Fehler: Wenn Sicherheitsprodukte versuchen, diese manipulierten Verzeichnisse rekursiv zu scannen, durchlaufen sie kontinuierlich die unendlich generierten Pfade.

Sicherheitslage und Risiko

Die Scan-Engine wird vollständig durch den Verzeichnis-Loop absorbiert und hängt schließlich ab, ohne ihre Aufgabe abzuschließen. Jeglicher tatsächlich vorhandene Malware-Code, der neben dem Junction-Verweis platziert ist, wird nicht gescannt und vom Endpunkt-Agenten vollständig nicht erkannt.

Die operativen Komponenten dieser Ausweichtechniken verdeutlichen ihre Einfachheit sowie ihre schwerwiegenden Auswirkungen auf die Dateisystemanalyse. Verteidiger können den folgenden Vergleich nutzen, um die exponentiellen Skalierungsunterschiede zwischen den beiden Angriffsvarianten zu verstehen.

Forscher erfolgreich validiert, indem sie sie direkt gegen Windows Defender getestet haben. Microsoft schloss den Bug-Report zunächst ohne Maßnahmen ab und erklärte, dass das Umgehen einer Antiviren-Engine nicht als Überschreiten einer definierten Sicherheitsgrenze gelte.

Sicherheitslage und Risiko

Trotz dieser anfänglichen Haltung setzte Microsoft schließlich ein Patch ein, um die zugrundeliegende Schwachstelle beim rekursiven Scannen zu beheben. Da native Endpunkt-Scanner durch logische Dateischleifen unterlaufen werden können, müssen Organisationen Defense-in-Depth-Strategien implementieren.

Security Operations Centers sollten Datei-Zugriffsereignisse auf der Datenebene überwachen, um das anomale Erstellen Erkennung rekursiver Verzeichnisstrukturen, die, ist entscheidend, um GhostTree-Aktivitäten vor der Ausführung zu identifizieren.