GhostTree Saldırısı Nedir?
GhostTree, NTFS junction'ları (bağlantı noktaları) kullanarak Windows sistemlerinde sanal dosya yolları oluşturan ve böylece malware'leri gizleyen bir saldırı tekniğidir. Bu teknik, saldırganların sistemdeki dosyaları görünmez kılmasını ve taramalardan kaçmasını sağlar. GhostTree adı, saldırının hayalet ağaç metaforuna dayanır; tıpkı bir ağacın dalları gibi, junction'lar da sonsuz sayıda sanal dosya yolu oluşturabilir.
GhostTree saldırısının temelinde, NTFS junction'larının özyineli (recursive) şekilde kullanılması yatar. Bu sayede, saldırganlar sistemdeki klasör yapısını kontrol edilemez şekilde karmaşıklaştırabilir ve güvenlik yazılımlarının dosya taramalarını sonsuz döngüye sokabilir. Özellikle Microsoft Defender gibi güvenlik araçları, bu tür saldırılarda süresiz olarak tarama yapmaya zorlanabilir, böylece malware'ler tespit edilmeden sistemde kalabilir.
Saldırının Arka Planı
NTFS junction'ları, bir klasörün başka bir klasöre sembolik bağlanmasını sağlayan bir Windows özelliğidir. Bu bağlantılar, gerçek dosya yollarından farklı olarak, sistemde sanal bir dosya hiyerarşisi oluşturur. GhostTree saldırısında, saldırganlar bu junction'ları özyineli şekilde kullanarak sonsuz sayıda geçerli dosya yolu oluşturabilir.
Örneğin: Bir saldırgan, C:\Users\Public\Documents klasörüne bir junction oluşturabilir ve bu junction'ı tekrar başka bir junction'a bağlayabilir. Bu şekilde, sistemdeki bir klasörün herhangi bir yerinde bulunan bir dosya, aslında farklı bir konumda yer alıyormuş gibi görünebilir. Bu durum, güvenlik yazılımlarının dosya taramalarını yanıltır ve malware'lerin tespit edilmesini zorlaştırır.
GhostTree Saldırısı Nasıl Çalışır?
GhostTree saldırısının çalışma prensibi aşağıdaki adımlarla özetlenebilir:
-
Junction Oluşturma:
Saldırgan, sistemdeki bir klasöre NTFS junction'ı oluşturur. Bu junction, orijinal klasörü başka bir klasöre bağlar. Örneğin:
mklink /J
