Новата техника GhostTree може да блокира EDR системи и да остави злонамерени файлове непроверени
Обзор
Изследователи от Varonis Threat Labs разкриха нова техника за заобикаляне на защитни решения, наречена GhostTree, която използва NTFS връзки в Windows, за да наруши работата на системите за защита на крайни устройства и да скрие злонамерени файлове от проверка.
Техниката създава рекурсивни цикли от директории, които могат да вкарат Endpoint Detection and Response (EDR) решенията в практически безкрайни пътища за сканиране, водещи до блокиране, забавяне или пропускане на злонамерени файлове.
Според публикуваното изследване методът е бил успешно демонстриран срещу Microsoft Defender, преди Microsoft впоследствие да въведе корекции, свързани с обработката на рекурсивно сканиране.
Как работи техниката
GhostTree стъпва върху по-ранна техника, известна като GhostBranch.
Атаката използва NTFS връзки, функционалност на Windows файловата система, която работи подобно на разширени препратки между директории.
Атакуващите могат да създават такива структури чрез стандартната Windows команда:
mklink /JЗа разлика от много други нисконивоови системни промени, създаването на NTFS връзки често не изисква административни права, което прави техниката подходяща дори за нападатели с ограничен достъп.
Първоначалната техника GhostBranch създава рекурсивен цикъл, като свързва поддиректория обратно към основната директория.
GhostTree значително разширява този подход, като изгражда множество рекурсивни разклонения едновременно.
Според Varonis това създава експоненциално нарастваща структура от директории, способна да генерира огромен брой логически пътища към едни и същи файлове.
В резултат:
- защитните решения започват непрекъснато да обхождат нови пътища
- процесите по сканиране изразходват значителни ресурси
- злонамерени файлове могат да останат непроверени
- агентите за защита на крайни устройства могат да спрат да отговарят
Защо това има значение
Съвременните EDR и антивирусни решения разчитат в голяма степен на рекурсивен анализ на файловата система, за да проверяват директории и да откриват злонамерени файлове.
GhostTree атакува именно тази логика.
Вместо директно да заобикаля сигнатури за засичане, техниката използва поведението на файловата система, за да претовари или обърка защитния механизъм.
Изследването подчертава няколко важни аспекта:
- атаката използва стандартни Windows функционалности
- не е необходим kernel exploit
- административни права невинаги са нужни
- злонамерените файлове могат да останат незасечени в същата структура
Това прави техниката особено опасна за среди, в които защитата на крайните устройства е основният защитен слой.
DIAMATIX перспектива
GhostTree е още един пример за промяната в начина, по който атакуващите заобикалят защитите.
Вместо да разчитат само на прикриване на злонамерен код, все по-често се атакуват:
- логиката на сканиране
- поведението на операционната система
- доверени системни механизми
- претоварване на защитни процеси
- слабости в наблюдението
Подобна активност често не изглежда злонамерена при стандартна проверка по сигнатури.
Рекурсивните NTFS структури могат да изглеждат като нормална файлова активност, ако липсва поведенчески анализ и наблюдение за аномалии.
Организациите, които разчитат основно на endpoint защита, трябва да осигурят и:
- поведенческо наблюдение
- анализ на файловата система
- телеметрия на процесите
- многослойно откриване на заплахи
CISO анализ
Този случай показва важна оперативна реалност:
Защитата на крайните устройства сама по себе си не е достатъчна срещу съвременни техники за заобикаляне.
Екипите по сигурност трябва да наблюдават за:
- необичайно създаване на NTFS връзки
- рекурсивни структури от директории
- прекомерна консумация на ресурси от защитни агенти
- необичайни прекъсвания при сканиране
- подозрителна активност във файловата система
Случаят отново подчертава нуждата от многослойна защита, комбинираща:
- централизиран мониторинг
- мрежова видимост
- поведенчески анализ
- наблюдение на идентичности
- корелация между различни източници на събития
Какво означава това за вашата среда
- Този тип атаки използват логиката на Windows файловата система, а не класически злонамерен код.
- Откриването зависи от засичане на необичайни рекурсивни структури, NTFS връзки и нестабилно поведение на защитните агенти.
- Ефективната реакция изисква многослойно наблюдение и видимост отвъд самия endpoint агент.
Можете ли да откриете подобен тип заобикаляне на защитните механизми във вашата среда?
Имате ли видимост върху необичайни структури и активности във файловата система преди защитният агент да стане неефективен?
Виж как подобни техники за заобикаляне на защитите се анализират и обработват в реална оперативна среда.
Trusted · Innovative · Vigilant
Източници
- Varonis Threat Labs
- Microsoft Security Documentation
- Публични технически анализи за GhostTree и GhostBranch
- Документация за NTFS junction механизми в Windows
Статията е базирана на публично достъпна техническа и threat intelligence информация към май 2026 г.
Получавайте актуални новини и експертни анализи за киберсигурност
