「GhostTree」と呼ばれる新たに開示された攻撃技術は、研究者がWindows システム上でエンドポイント検出と応答(EDR)ツールを混乱させてファイルスキャンメカニズムをバイパスできることを実証した後、防御者の間で懸念を生じさせています。
この技術はVaronis Threat Labsによって発見され、セキュリティツールを無期限にハングさせる可能性のある再帰的なディレクトリ構造を作成するためにNTFSジャンクションを悪用しています。
新しいGhostTree攻撃
NTFSジャンクションは、1つのディレクトリを別のディレクトリをポイントできるようにする正規のWindows ファイルシステム機能で、ショートカットに似ていますが、オペレーティングシステムによって実際のフォルダとして扱われます。
重要なことに、ジャンクションの作成には管理者権限が必要ではなく、書き込みアクセス権を持つユーザーなら、次のような簡単なコマンドを使用して生成できます:
mklink /J C:\Link C:\Target通常は互換性またはストレージ管理に使用されますが、攻撃者はループを作成することでこの機能を武器化できます。
子ディレクトリを親ディレクトリにポイントバックすることで、再帰構造が形成され、同じファイルに無制限のパス数でアクセスできます。
研究は攻撃の2つのバリエーションを概説しています:
- GhostBranch:単一のジャンクションが親ディレクトリにループバックし、同じファイルへの複数の有効なパスを生成します。たとえば、C:\Parent\Child\Child\Program.exeなど、ますますネストされたパスを介してファイルにアクセスできます。
- GhostTree:複数のジャンクション(Child1やChild2など)を作成してブランチング構造を形成する、より高度なバリアントです。パス内の各レベルは異なる方向に分岐し、可能なパス数を指数関数的に増加させることができます。
このブランチング効果により、攻撃者は同じ悪意のあるファイルをポイントする膨大な数の一意のディレクトリパスを生成できます。
Windows は従来、最大パス長260文字を適用し、再帰の深さを制限しています。ただし、この制約内では、GhostTree は依然として大量の有効なパスを生成できます。
- GhostBranch は線形のパスセットを作成します。
- GhostTree は組み合わせ爆発を作成し、理論的な可能性は21262126パスに達し、天文学的に大きな数です。
この「パス爆発」は、再帰的なディレクトリトラバーサルに依存するEDRツールとアンチウイルススキャナーに深刻な問題を生成します。そのような構造をスキャンするとき、ツールは終了せずに新しいパスを継続的にフォローする可能性があり、事実上スキャンプロセスをハングさせます。
結果として、影響を受けたディレクトリに配置された悪意のあるファイルはスキャンされず、検出されないままになる可能性があります。
Varonis の研究者は、この技術がMicrosoft Defender のスキャン機能に干渉でき、実用的な回避の可能性を示していることを確認しました。最初はセキュリティ境界を超えないと分類されていましたが、その後パッチで対処されています。
検出と軽減戦略
GhostTree は従来のエンドポイントスキャンアプローチのより広い制限を強調しています。セキュリティチームは、以下を含む階層化された防御を検討する必要があります:
- 異常なジャンクションまたはシンボリックリンク作成アクティビティの監視
- 再帰的または円形のディレクトリ構造の検出
- ファイルシステムレベルでの行動分析の実装
- 機密ディレクトリでの不要な書き込み権限の制限
GhostTree 技術は、見落とされたオペレーティングシステム機能がどのように回避のために目的を変更できるかを強調しています。再帰的なパス構造を悪用することで、攻撃者は特権の昇格なしにセキュリティツールを効果的にブラインドできます。
これは、署名ベースのスキャンを超え、行動駆動検出に向けた可視性の必要性を強化しています。
翻訳元: https://gbhackers.com/new-ghosttree-attack-causes-edr-tools/
