Uma nova técnica de evasão chamada GhostTree foi descoberta por pesquisadores do Varonis Threat Labs, explorando junctions do NTFS para criar loops de diretório recursivos. Este método prende scanners de Endpoint Detection and Response (EDR) em caminhos infinitos, fazendo com que eles travem e ignorem payloads maliciosos, comprometendo a segurança dos endpoints.
Mecanismo técnico do ataque
O ataque baseia-se em uma funcionalidade do sistema de arquivos NTFS que permite a criação de junctions, que funcionam como atalhos avançados que redirecionam aplicativos de um diretório para outro. A técnica é particularmente perigosa porque a criação de uma junction requer apenas permissões de escrita padrão, não exigindo privilégios administrativos.
Os atacantes executam o comando mklink /J no terminal do Windows para vincular um novo caminho a um diretório alvo. O ataque fundamental, chamado GhostBranch, envolve a criação de uma junction que aponta um diretório filho diretamente de volta para seu pai, criando um loop lógico onde o conteúdo do pai é replicado infinitamente.
O GhostTree amplifica essa ameaça ao vincular múltiplos diretórios filhos ao mesmo diretório pai. Essa configuração de dois nós gera aproximadamente 2 elevado a 126 caminhos de arquivo distintos, apresentando um número astronômico de rotas para um único executável. A estrutura resultante assemelha-se a uma árvore binária complexa que se ramifica recursivamente até atingir os limites do sistema operacional.
Falhas na varredura de EDR
Quando produtos de segurança tentam escanear recursivamente esses diretórios manipulados, eles percorrem continuamente os caminhos gerados infinitamente. O mecanismo de varredura torna-se inteiramente consumido pelo loop de diretório e, finalmente, trava sem completar a tarefa. Qualquer malware real colocado ao lado da junction permanece sem análise e completamente indetectável pelo agente de endpoint.
Os pesquisadores do Varonis validaram essa técnica de evasão testando-a diretamente contra o Windows Defender. Inicialmente, a Microsoft fechou o relatório de bug sem ação, afirmando que burlar um motor antivírus não se qualifica como cruzar um limite de segurança definido. No entanto, a Microsoft eventualmente implantou um patch para resolver a vulnerabilidade de varredura recursiva subjacente.
Implicações para a segurança de endpoints
Porque scanners de endpoint nativos podem ser subvertidos por loops de arquivo lógicos, as organizações devem implementar estratégias de defesa em profundidade. Os centros de operações de segurança (SOC) devem monitorar eventos de acesso a arquivos na camada de dados para identificar a criação anômala de junctions.
Detectar estruturas de diretório recursivo que se desviam dos padrões operacionais normais é crítico para identificar a atividade GhostTree antes da execução. A dependência exclusiva de varreduras de arquivo tradicionais pode deixar as organizações vulneráveis a essa técnica de evasão sofisticada.
Medidas de mitigação recomendadas
As organizações devem atualizar seus produtos de segurança para as versões que incluem patches contra essa vulnerabilidade. Além disso, é recomendável implementar monitoramento de comportamento de sistema de arquivos para detectar a criação de junctions suspeitas. A segmentação de rede e o princípio do menor privilégio também ajudam a limitar o impacto de um ataque bem-sucedido.
Equipes de segurança devem revisar suas políticas de varredura de arquivos para garantir que elas não sejam suscetíveis a loops infinitos. A implementação de limites de profundidade de varredura e timeouts pode prevenir que os scanners de segurança fiquem presos em loops de diretório.
Conclusão e lições aprendidas
O ataque GhostTree destaca a importância de entender as limitações e vulnerabilidades dos sistemas de arquivos subjacentes. A segurança de endpoints não pode depender apenas de varreduras de arquivo tradicionais, mas deve incluir monitoramento de comportamento e análise de rede. A colaboração entre pesquisadores de segurança e fabricantes de software é essencial para identificar e mitigar essas técnicas de evasão emergentes.
Para CISOs e equipes de segurança, o caso reforça a necessidade de uma abordagem holística de segurança, combinando ferramentas de detecção, monitoramento de rede e políticas de segurança robustas. A atualização regular de sistemas e a adoção de práticas de segurança em profundidade são fundamentais para proteger contra ameaças sofisticadas como o GhostTree.