Интересно 260 символов, 126 уровней и 8,5 × 10³⁷ путей: GhostTree запутывает EDR и антивирусы в Windows.

[Admin]

​

Исследователи обнаружили новый метод обхода антивирусов и систем защиты EDR в Windows. Техника под названием GhostTree использует особенности файловой системы NTFS для создания зацикленных путей.

Метод основан на использовании символических ссылок и NTFS junctions, которые позволяют создавать бесконечные пути к файлам, что затрудняет их обнаружение защитными системами.

Исследователи Varonis Threat Labs описали технику GhostTree, которая использует NTFS junctions и символические ссылки для создания зацикленных путей к файлам. Это позволяет злоумышленникам скрывать вредоносные файлы от антивирусов и систем защиты EDR. Метод основан на создании дочерних папок, которые указывают обратно на родительский каталог, что приводит к бесконечному количеству путей к одному и тому же файлу. В результате защитные системы могут зацикливаться при проверке таких папок, пропуская вредоносные файлы. Исследователи подтвердили эффективность метода на Windows Defender и передали информацию в Microsoft.