Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

GhostTree Attack Abused Recursive Windows Junctions to Hide Malware

1 minute de lecture

Mis à jour :

GhostTree : L’évasion des outils de sécurité par boucles récursives NTFS

La technique « GhostTree » exploite les jonctions NTFS pour créer des boucles récursives infinies, permettant de dissimuler des logiciels malveillants aux outils d’analyse (antivirus, EDR). En créant des liens symboliques pointant vers leur propre répertoire parent, un attaquant peut générer une quantité astronomique de chemins d’accès uniques pour un même fichier. Cette explosion combinatoire sature les processus d’analyse récursive, forçant les logiciels de sécurité à abandonner leur scan sans inspecter les fichiers malveillants situés dans le dossier source.

Points clés :

  • Accessibilité : Ne nécessite aucun privilège administrateur, seulement des droits d’écriture dans le dossier cible.
  • Mécanisme : Utilise la commande mklink /J pour rediriger un dossier enfant vers son parent.
  • Complexité exponentielle : En multipliant les points de jonction (ex: deux dossiers, “P” et “B”, créant une structure arborescente), l’attaquant génère jusqu’à $2^{126}$ chemins, dépassant les capacités de traitement des outils de scan classiques.
  • Impact : Évasion réussie des scanners de dossiers, notamment Windows Defender.

Vulnérabilités :

  • Il ne s’agit pas d’une vulnérabilité avec un identifiant CVE spécifique, mais d’une exploitation abusive d’une fonctionnalité native de Windows (gestion des jonctions NTFS et des liens symboliques). Microsoft considère ce comportement comme une limitation fonctionnelle plutôt qu’une faille de sécurité, bien que des correctifs aient été déployés.

Recommandations :

  • Surveillance comportementale : Ne pas se reposer uniquement sur l’analyse de fichiers (EDR/Antivirus). Mettre en place une surveillance des activités anormales du système de fichiers, comme la création inhabituelle de jonctions.
  • Audit des droits : Restreindre les permissions d’écriture dans les répertoires système ou sensibles pour limiter la création de liens non autorisés.
  • Détection d’anomalies : Surveiller les structures de répertoires récursives qui ne correspondent pas à une activité métier normale.

Source

Vous pourriez aimer