🔥 Fique por dentro das novidades mais quentes do momento! 🔥
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A maioria das equipes de segurança pensa nas junções NTFS e nos links simbólicos como recursos de nicho do sistema de arquivos. Eles permitem que um diretório aponte para outro, como um atalho que o sistema operacional trata como real. Eles existem para compatibilidade com versões anteriores, gerenciamento de armazenamento, coisas que raramente aparecem em um SOC. Mas eles têm uma propriedade que os torna interessantes do ponto de vista ofensivo: qualquer usuário pode criá-los.
Não são necessários privilégios de administrador e nenhuma permissão especial além do acesso de gravação na pasta de destino.
Descobrimos que, ao apontar uma junção de volta para seu próprio diretório pai, um invasor pode criar loops recursivos que geram caminhos de arquivos efetivamente infinitos. Ferramentas que tentam varrer o diretório recursivamente, incluindo produtos EDR, podem seguir o ciclo e nunca terminar.
Os arquivos maliciosos que ficam na mesma pasta não são examinados, criando uma técnica que chamamos de GhostTree.
Como funcionam as junções NTFS
Os caminhos de arquivos do Windows são uma parte fundamental do sistema operacional, mas apresentam complexidades. Embora a maioria dos usuários interaja com estruturas de pastas simples, o sistema de arquivos NTFS apresenta recursos avançados como junções e links simbólicos.
Esses recursos atendem a propósitos legítimos, como redirecionar diretórios, manter a compatibilidade retroativa com aplicativos legados que esperam que os arquivos estejam em locais específicos ou reorganizar arquivos sem movê-los fisicamente.
Uma junção é um tipo de ponto de nova análise NTFS que redireciona um diretório para outro. Criar um requer apenas permissões de gravação e um único comando no CMD:
mklink /J C:\LinkToFolder C:\TargetFolder
Isso cria uma junção chamada “LinkToFolder” que aponta de forma transparente para “TargetFolder”. Qualquer aplicativo que acesse arquivos por meio da junção vê o conteúdo do diretório de destino como se fosse local.
Porém, uma restrição é importante aqui. Os sistemas Windows clássicos impõem um comprimento máximo de caminho de 260 caracteres, que está enraizado no software legado e no design do sistema de arquivos.
É tecnicamente possível estender esse limite para até 32.767 caracteres por meio de uma chave de registro, mas muitos aplicativos e utilitários não estão equipados para lidar com caminhos além de 260.
Embora o NTFS suporte caminhos mais longos, o uso prático permanece restrito pelo software existente. Esse limite determina a profundidade dos loops recursivos e quantos caminhos exclusivos o GhostTree pode produzir.
O que você não sabe pode te machucar.
A proteção de dados confidenciais começa com visibilidade – saber onde suas informações estão, quem pode acessá-las e como estão sendo usadas.
A plataforma de segurança de dados Varonis bloqueia automaticamente a exposição, monitora continuamente atividades em SaaS, IaaS, locais e bancos de dados, e detecta e responde a ameaças internas, ransomware e abuso de IA.
Obtenha hoje mesmo uma avaliação de risco de dados gratuita.
Filial Fantasma
GhostBranch é a mais simples das duas técnicas. Qualquer usuário pode criar uma junção de pasta, definindo o nome e o destino da junção. Considere esta estrutura de pastas:
C:\Parent\program.exe
Execute o comando:
mklink /J C:\Pai\Filho C:\Pai
Isso cria um loop lógico apontando uma pasta filha de volta para sua pasta pai. O diretório filho agora contém tudo o que o pai faz, inclusive ele mesmo. O resultado é um número ilimitado de caminhos válidos para o mesmo arquivo:
C:\Parent\Child\Program.exe
C:\Parent\Child\Child\Program.exe
C:\Parent\Child\Child\Child\Child\Program.exe
Devido ao loop, você pode adicionar várias pastas “filhas” ao caminho e ele permanece válido. Cada um desses caminhos resolve o mesmo executável.
Árvore Fantasma
GhostTree baseia-se no conceito GhostBranch criando várias pastas filhas em vez de uma. Por exemplo, você pode criar duas pastas filhas:
mklink /J C:\Pai\Filho1 C:\Pai
mklink /J C:\Parent\Child2 C:\Parent
Agora, cada nível no caminho pode ramificar-se através de Child1 ou Child2, e ambos retornarão ao pai. Isso permite vários caminhos:
C:\Parent\Child1\Program.exe
C:\Parent\Child2\Program.exe
C:\Parent\Child1\Child1\Program.exe
C:\Parent\Child1\Child2\Program.exe
Cálculos de caminho
Tanto o GhostBranch quanto o GhostTree produzem caminhos que podem se estender até o comprimento máximo permitido pelo Windows. A diferença está na diversidade de caminhos, que é onde a pasta secundária adicional do GhostTree muda as coisas consideravelmente.
Filial Fantasma
No Windows, o comprimento máximo do caminho tradicional é de 260 caracteres. Para maximizar o número de diretórios, pode-se criar pastas de uma única letra (por exemplo, “P”) diretamente na unidade C: e empregar um executável chamado 1.exe.
Exemplos de caminhos incluem:
C:\P\1.exe
C:\P\P\1.exe
C:\P\P\P\...\1.exe
Esta configuração permite aproximadamente 126 estruturas de diretório exclusivas devido a limitações de comprimento de caminho.
Árvore Fantasma
O método GhostTree introduz duas pastas pais, "P" e "B", em contraste com a estrutura de pasta única usada anteriormente
Não são necessários privilégios de administrador e nenhuma permissão especial além do acesso de gravação na pasta de destino.
Descobrimos que, ao apontar uma junção de volta para seu próprio diretório pai, um invasor pode criar loops recursivos que geram caminhos de arquivos efetivamente infinitos. Ferramentas que tentam varrer o diretório recursivamente, incluindo produtos EDR, podem seguir o ciclo e nunca terminar.
Os arquivos maliciosos que ficam na mesma pasta não são examinados, criando uma técnica que chamamos de GhostTree.
Como funcionam as junções NTFS
Os caminhos de arquivos do Windows são uma parte fundamental do sistema operacional, mas apresentam complexidades. Embora a maioria dos usuários interaja com estruturas de pastas simples, o sistema de arquivos NTFS apresenta recursos avançados como junções e links simbólicos.
Esses recursos atendem a propósitos legítimos, como redirecionar diretórios, manter a compatibilidade retroativa com aplicativos legados que esperam que os arquivos estejam em locais específicos ou reorganizar arquivos sem movê-los fisicamente.
Uma junção é um tipo de ponto de nova análise NTFS que redireciona um diretório para outro. Criar um requer apenas permissões de gravação e um único comando no CMD:
mklink /J C:\LinkToFolder C:\TargetFolder
Isso cria uma junção chamada “LinkToFolder” que aponta de forma transparente para “TargetFolder”. Qualquer aplicativo que acesse arquivos por meio da junção vê o conteúdo do diretório de destino como se fosse local.
Porém, uma restrição é importante aqui. Os sistemas Windows clássicos impõem um comprimento máximo de caminho de 260 caracteres, que está enraizado no software legado e no design do sistema de arquivos.
É tecnicamente possível estender esse limite para até 32.767 caracteres por meio de uma chave de registro, mas muitos aplicativos e utilitários não estão equipados para lidar com caminhos além de 260.
Embora o NTFS suporte caminhos mais longos, o uso prático permanece restrito pelo software existente. Esse limite determina a profundidade dos loops recursivos e quantos caminhos exclusivos o GhostTree pode produzir.
O que você não sabe pode te machucar.
A proteção de dados confidenciais começa com visibilidade – saber onde suas informações estão, quem pode acessá-las e como estão sendo usadas.
A plataforma de segurança de dados Varonis bloqueia automaticamente a exposição, monitora continuamente atividades em SaaS, IaaS, locais e bancos de dados, e detecta e responde a ameaças internas, ransomware e abuso de IA.
Obtenha hoje mesmo uma avaliação de risco de dados gratuita.
Filial Fantasma
GhostBranch é a mais simples das duas técnicas. Qualquer usuário pode criar uma junção de pasta, definindo o nome e o destino da junção. Considere esta estrutura de pastas:
C:\Parent\program.exe
Execute o comando:
mklink /J C:\Pai\Filho C:\Pai
Isso cria um loop lógico apontando uma pasta filha de volta para sua pasta pai. O diretório filho agora contém tudo o que o pai faz, inclusive ele mesmo. O resultado é um número ilimitado de caminhos válidos para o mesmo arquivo:
C:\Parent\Child\Program.exe
C:\Parent\Child\Child\Program.exe
C:\Parent\Child\Child\Child\Child\Program.exe
Devido ao loop, você pode adicionar várias pastas “filhas” ao caminho e ele permanece válido. Cada um desses caminhos resolve o mesmo executável.
Árvore Fantasma
GhostTree baseia-se no conceito GhostBranch criando várias pastas filhas em vez de uma. Por exemplo, você pode criar duas pastas filhas:
mklink /J C:\Pai\Filho1 C:\Pai
mklink /J C:\Parent\Child2 C:\Parent
Agora, cada nível no caminho pode ramificar-se através de Child1 ou Child2, e ambos retornarão ao pai. Isso permite vários caminhos:
C:\Parent\Child1\Program.exe
C:\Parent\Child2\Program.exe
C:\Parent\Child1\Child1\Program.exe
C:\Parent\Child1\Child2\Program.exe
Cálculos de caminho
Tanto o GhostBranch quanto o GhostTree produzem caminhos que podem se estender até o comprimento máximo permitido pelo Windows. A diferença está na diversidade de caminhos, que é onde a pasta secundária adicional do GhostTree muda as coisas consideravelmente.
Filial Fantasma
No Windows, o comprimento máximo do caminho tradicional é de 260 caracteres. Para maximizar o número de diretórios, pode-se criar pastas de uma única letra (por exemplo, “P”) diretamente na unidade C: e empregar um executável chamado 1.exe.
Exemplos de caminhos incluem:
C:\P\1.exe
C:\P\P\1.exe
C:\P\P\P\...\1.exe
Esta configuração permite aproximadamente 126 estruturas de diretório exclusivas devido a limitações de comprimento de caminho.
Árvore Fantasma
O método GhostTree introduz duas pastas pais, "P" e "B", em contraste com a estrutura de pasta única usada anteriormente
#samirnews #samir #news #boletimtec #ataque #ghosttree #abusou #de #junções #recursivas #do #windows #para #ocultar #malware
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário