Pesquisadores da empresa de segurança Varonis revelaram uma técnica de evasão de cibersegurança sem precedentes, batizada de GhostTree. Esta nova ameaça explora uma funcionalidade intrínseca do sistema de arquivos do Windows para criar estruturas de diretórios que se repetem infinitamente. Tal artifício impede que soluções de segurança, como antivírus e ferramentas de detecção e resposta de endpoint (EDR), consigam examinar arquivos maliciosos ocultos, abrindo uma nova fronteira para ataques cibernéticos.
A Engenhosidade do GhostTree: Explorando os Junctions do Windows
Para compreender a mecânica por trás do GhostTree, é fundamental entender o conceito de <b>junctions</b> no sistema de arquivos NTFS, amplamente utilizado pelo Windows. Um junction atua como um atalho simbólico entre pastas, fazendo com que o sistema operacional trate diferentes diretórios como se fossem o mesmo local. Embora existam para finalidades legítimas, como garantir a compatibilidade com softwares legados ou facilitar a organização de arquivos sem a necessidade de realocá-los fisicamente, o ponto crucial é que qualquer usuário do sistema pode criar um junction com um comando simples, sem requerer privilégios administrativos.
A exploração maliciosa dessa funcionalidade começa quando um junction é configurado para apontar para o seu próprio diretório pai, em vez de direcionar para uma pasta externa. Essa configuração estabelece um loop recursivo: o sistema passa a interpretar a subpasta como contendo todo o conteúdo do diretório pai, incluindo a si mesma. O resultado é a criação de um número praticamente infinito de caminhos válidos que levam ao mesmo arquivo, dificultando exponencialmente a análise por softwares de segurança.
Da GhostBranch à Exponencialidade da GhostTree
Os pesquisadores da Varonis identificaram duas variantes distintas dessa técnica. A mais rudimentar, denominada <b>GhostBranch</b>, emprega um único junction em um laço de repetição. Essa abordagem gera aproximadamente 126 caminhos únicos para acessar um arquivo específico, um número limitado pela restrição de 260 caracteres no comprimento máximo de um caminho no Windows. Cada camada adicionada à estrutura oferece múltiplas rotas de navegação, fazendo com que o número de referências ao mesmo conteúdo cresça rapidamente até o limite imposto pelo sistema.
A versão mais avançada e perigosa, o <b>GhostTree</b>, eleva a complexidade ao criar dois junctions em loop dentro do mesmo diretório pai. Essa configuração arquitetônica se assemelha a uma árvore binária, onde cada nível da estrutura oferece um número exponencialmente crescente de combinações de caminhos. O total de rotas de acesso possíveis atinge a impressionante marca de 2 elevado à potência de 126, um número que beira 8,5 × 10³⁷, ilustrando a escala incomensurável da evasão que essa técnica pode gerar.
O Ponto Cego das Ferramentas de Segurança
Ferramentas de segurança como antivírus e EDRs são projetadas para escanear diretórios de forma recursiva, inspecionando cada subpasta e seus arquivos. No entanto, ao se depararem com a estrutura labiríntica criada pelo GhostTree, esses sistemas entram em um loop infinito. Incapazes de finalizar a varredura, eles ficam presos, deixando arquivos maliciosos, previamente colocados na pasta pai pelo atacante, sem inspeção e completamente indetectáveis. O malware, portanto, permanece ativo e sem monitoramento.
Testes conduzidos pelos pesquisadores demonstraram a eficácia da técnica contra o Windows Defender, confirmando sua capacidade de evadir a varredura de diretórios. A Microsoft foi devidamente notificada sobre a vulnerabilidade. Embora tenha inicialmente classificado o comportamento como fora do escopo de suas correções de segurança, a empresa posteriormente reconheceu a falha e implementou a devida correção para mitigar essa forma de evasão.
Estratégias para Detecção e Prevenção
Diante da sofisticação do GhostTree, a Varonis enfatiza que soluções de segurança que dependem exclusivamente da varredura de arquivos são insuficientes para a detecção de ataques dessa natureza. A recomendação crucial é a adoção de uma abordagem proativa, focada no monitoramento contínuo de padrões de acesso e modificação no sistema de arquivos. É imperativo buscar por atividades anômalas, como a criação incomum de junctions ou a formação de estruturas de diretórios que são atípicas ou não deveriam existir no ambiente corporativo, sinalizando uma possível infecção ou tentativa de evasão.
O GhostTree é um lembrete contundente da constante evolução das táticas de evasão de malwares. Ele sublinha a necessidade de sistemas de segurança cada vez mais inteligentes, capazes de ir além da detecção baseada em assinaturas, focando na análise comportamental e na inteligência de ameaças para proteger ambientes digitais contra técnicas que exploram as profundezas dos sistemas operacionais.
Fonte: https://www.tecmundo.com.br