GhostTree攻撃:再帰的なWindowsジャンクションを悪用したマルウェア隠蔽手法
セキュリティチームの多くは、NTFSジャンクションやシンボリックリンクをニッチなファイルシステム機能として捉えています。これらはあるディレクトリを別のディレクトリに向けるもので、OSが実体として扱うショートカットのようなものです。後方互換性やストレージ管理のために存在しており、SOCで話題になることはほとんどありませ
セキュリティチームの多くは、NTFSジャンクションやシンボリックリンクをニッチなファイルシステム機能として捉えています。これらはあるディレクトリを別のディレクトリに向けるもので、OSが実体として扱うショートカットのようなものです。後方互換性やストレージ管理のために存在しており、SOCで話題になることはほとんどありませ
新しい回避GhostTree技術は、NTFSジャンクションを悪用して再帰的ディレクトリループを作成します。 Varonis Threat Labsが発見したこのトラップは、エンドポイント検出・応答(EDR)スキャナーを使用して無限パスを作成し、スキャナーを無期限にハング状態にして、目の前にある悪意あるペイロードを無視
「GhostTree」と呼ばれる新たに開示された攻撃技術は、研究者がWindows システム上でエンドポイント検出と応答(EDR)ツールを混乱させてファイルスキャンメカニズムをバイパスできることを実証した後、防御者の間で懸念を生じさせています。 この技術はVaronis Threat Labsによって発見され、セキュ