В последно време специалисти по киберсигурност идентифицираха нова техника за прикриване на зловреден софтуер, наречена GhostTree. Тя използва рекурсивни NTFS junctions – специален тип връзки в Windows файловата система, които позволяват създаването на огромен брой валидни пътища към файлове и папки. Този подход затруднява традиционните антивирусни сканирания и може да доведе до пропускане на зловреден код.
Какво представлява GhostTree и как работи?
GhostTree се възползва от възможността на NTFS файловата система да създава junctions – виртуални връзки, които препращат към други директории. Чрез рекурсивно създаване на такива връзки, GhostTree генерира експоненциално нарастващ брой валидни файлови пътища. Това означава, че когато антивирусен софтуер като Microsoft Defender започне да сканира папка, той може да попадне в безкраен цикъл на обход, който никога не приключва.
В резултат на това сканирането се забавя значително или изобщо не завършва, което позволява на зловредния софтуер да остане незабелязан и да продължи да действа в системата.
Защо този метод е значим?
Техниката GhostTree представлява сериозно предизвикателство за сигурността, тъй като експлоатира легитимни функционалности на Windows, които не са предвидени да се използват по този начин. Това подчертава необходимостта от по-усъвършенствани методи за откриване на зловреден софтуер, които да могат да разпознават подобни аномалии в структурата на файловата система.
За потребителите и организациите това означава, че традиционните антивирусни решения може да не са достатъчни за защита срещу новите техники за прикриване на зловреден код. Това налага допълнителни мерки и повишено внимание при мониторинг на системите.
По-широк контекст и влияние върху индустрията
GhostTree е пример за нарастващата сложност на методите, използвани от киберпрестъпниците. С нарастването на възможностите на операционните системи и файловите системи, се появяват и нови възможности за злоупотреба. Това изисква от доставчиците на антивирусен софтуер и решения за киберсигурност да адаптират своите технологии и да въвеждат по-иновативни подходи за откриване и предотвратяване на атаки.
В същото време, за ИТ администраторите и специалистите по сигурността е важно да бъдат информирани за подобни техники, за да могат да предприемат адекватни действия – като например ограничаване на използването на junctions в критични системи или въвеждане на допълнителни правила за сканиране.
Какво може да последва?
Очаква се доставчиците на антивирусен софтуер, включително Microsoft, да разработят актуализации и подобрения, които да предотвратят злоупотребата с рекурсивни junctions. Това може да включва ограничаване на дълбочината на сканиране или въвеждане на механизми за разпознаване на аномалии в структурата на файловата система.
От страна на потребителите и организациите е препоръчително да следят за такива актуализации и да прилагат добри практики за сигурност, включително редовно обновяване на софтуера и използване на допълнителни инструменти за мониторинг на системите.
В заключение, GhostTree демонстрира как иновативните техники за прикриване на зловреден софтуер могат да използват съществуващи системни функции по неочаквани начини, което налага постоянна бдителност и адаптация в областта на киберсигурността.
