Атака GhostTree использует рекурсивные junction для сокрытия вредоносного ПО
Исследователи в области кибербезопасности обнаружили новую технику атаки под названием GhostTree, которая использует рекурсивные junction в файловой системе NTFS для создания огромного количества действительных путей к файлам в Windows. Эта методика может привести к тому, что сканирование папок антивирусным решением Microsoft Defender будет затягиваться бесконечно, оставляя вредоносное ПО незамеченным.
Рекурсивные junction представляют собой специальные ссылки на каталоги, которые могут вести к другим каталогам, создавая сложные и запутанные структуры файловой системы. GhostTree использует эту особенность для формирования множества путей к файлам, что затрудняет работу антивирусных программ, так как они могут не завершить сканирование из-за чрезмерного количества сгенерированных путей.
По словам экспертов компании Varonis, такая техника может быть использована злоумышленниками для маскировки вредоносных файлов, что значительно увеличивает вероятность того, что они останутся незамеченными антивирусными решениями. Это подчеркивает важность обновления и адаптации методов защиты от новых угроз.
Атака GhostTree также поднимает вопросы о надежности существующих механизмов обнаружения и защиты, используемых в современных операционных системах. В условиях растущей сложности киберугроз, разработчики программного обеспечения должны учитывать такие уязвимости и находить способы их устранения.
Эксперты рекомендуют пользователям и организациям внимательно следить за обновлениями безопасности и регулярно проверять свои системы на наличие вредоносного ПО, чтобы минимизировать риски, связанные с новыми методами атак, такими как GhostTree.