Técnica GhostTree permite esconder malwares no Windows

Pesquisadores da Varonis identificaram uma técnica de evasão denominada GhostTree, que utiliza as junctions do sistema de arquivos NTFS do Windows para ocultar malwares de softwares de segurança. Ao criar loops recursivos de diretórios, a falha gera um volume excessivo de caminhos para um mesmo arquivo, o que causa o travamento de varreduras realizadas por antivírus e soluções de EDR. A vulnerabilidade é particularmente preocupante por não exigir privilégios de administrador para ser executada, permitindo que atacantes escondam artefatos maliciosos de forma silenciosa. Testes realizados demonstraram que o Windows Defender era suscetível a essa forma de manipulação. A Microsoft já foi notificada sobre a falha e implementou correções para mitigar o problema. Especialistas em cibersegurança recomendam que empresas foquem no monitoramento de padrões anômalos na criação de junctions, em vez de confiar exclusivamente em varreduras tradicionais de arquivos.