新しい回避GhostTree技術は、NTFSジャンクションを悪用して再帰的ディレクトリループを作成します。
Varonis Threat Labsが発見したこのトラップは、エンドポイント検出・応答(EDR)スキャナーを使用して無限パスを作成し、スキャナーを無期限にハング状態にして、目の前にある悪意あるペイロードを無視させます。
NTFSジャンクションは、ユーザーの操作なしにアプリケーションをあるディレクトリから別のディレクトリにシームレスにリダイレクトする高度なショートカットとして機能します。
脅威アクターがこの機能を好む理由は、ジャンクションの作成が管理者権限ではなく標準の書き込み権限のみを必要とするため、侵害されたシステム上のすべての低権限ユーザーがアクセスできるからです。
攻撃者は、Windowsターミナルでmklink /Jコマンドを実行して新しいパスをターゲットディレクトリにリンクし、悪意ある意図の明らかな痕跡を残さないとVaronisは述べています。
NTFSファイルシステムは本来的に拡張パス長をサポートしていますが、レガシーソフトウェアはオペレーティングシステム全体に対する実用的なパス深度に大きな制限を課しています。
古典的なWindowsアーキテクチャは、最大パス長を260文字に厳しく制限しており、最終的には再帰的ディレクトリループがどのくらい深く拡張できるかを制限しますが、攻撃が非常に効果的であることを防ぎません。
基本的なGhostBranch技術は、子ディレクトリを直接親に指すジャンクションを作成する対手を伴います。
この設定ミスは、子フォルダが親の内容(それ自体を含む)をエンドレスに複製する論理ループを作成します。
パス深度を最大化するために1文字のフォルダ名を使用して、攻撃者は最大約126レベルのディレクトリをネストでき、260文字のOSリミット内で約126個の一意の再帰的ディレクトリ構造を生成できます。
GhostTreeは、複数の子ディレクトリを同じ親フォルダにリンクすることで、この脅威を指数関数的に増幅します。
セキュリティ製品がこれらの操作されたディレクトリを再帰的にスキャンしようとすると、無限に生成されたパスを継続的にトラバースします。
スキャンエンジンはディレクトリループによって完全に消費され、最終的にハング状態になり、タスクが未完了のままになります。
親ディレクトリのジャンクション隣に配置されたマルウェアは、エンドポイントエージェントによって完全にスキャンされず、検出されないままです。カーネルの脆弱性を悪用したり、昇格した権限は必要ありません。
Microsoftは最初、バグレポートを何の措置も取らずに閉じ、アンチウイルスエンジンをバイパスすることは定義されたセキュリティ境界を越えることにはならないと述べました。
この立場にもかかわらず、Microsoftは最終的に基礎となる再帰的スキャンの脆弱性を解決するためにパッチをデプロイしました。
論理的ファイルループは本来的なエンドポイントスキャナーを損なう可能性があるため、組織は多層防御戦略を実装する必要があります。セキュリティオペレーションセンター(SOC)は次のステップを実行する必要があります。
GhostTreeは、最も危険な攻撃技術はしばしばマルウェアをまったく必要としないことを思い出させてくれます。必要なのは、オペレーティングシステム自体の機能についての深い理解だけです。
翻訳元: https://cyberpress.org/ghosttree-attack-edr-tools/