GhostTree là một kỹ thuật né tránh phát hiện trong an toàn thông tin, tận dụng NTFS junctions để tạo các vòng lặp thư mục đệ quy. Kỹ thuật này có thể khiến EDR bị kẹt trong các đường dẫn lặp vô hạn, từ đó bỏ sót payload độc hại nằm trong cùng cây thư mục.
NTFS junction và cơ chế tạo vòng lặp
NTFS junction hoạt động như một lối tắt nâng cao, chuyển hướng ứng dụng từ một thư mục sang thư mục khác một cách trong suốt. Điểm đáng chú ý của lỗ hổng CVE theo hướng logic này là junction chỉ cần quyền ghi thông thường, không yêu cầu quyền quản trị để tạo ra.
Trong môi trường Windows truyền thống, đường dẫn bị giới hạn thực tế bởi ngưỡng 260 ký tự. Khi kết hợp giới hạn này với các thư mục đệ quy, cấu trúc cây có thể bị mở rộng đến mức làm tê liệt quá trình quét của công cụ bảo mật.
GhostBranch và nền tảng của GhostTree
Biến thể nền tảng của kỹ thuật này là GhostBranch, trong đó một junction trỏ trực tiếp thư mục con về thư mục cha. Cấu hình này tạo thành một vòng lặp logic, khiến thư mục con lặp lại nội dung của thư mục cha, bao gồm cả chính nó.
Với cách đặt tên thư mục một ký tự, mức lồng ghép có thể đạt khoảng 126 cấp. Từ đó, GhostTree khuếch đại rủi ro bằng cách liên kết nhiều thư mục con quay lại cùng một thư mục cha.
Cấu trúc hai nút này tạo ra xấp xỉ 2^126 đường dẫn tệp khác nhau, tương đương một số lượng đường đi cực lớn đến cùng một executable. Về mặt hình thái, cây thư mục này giống một nhánh nhị phân đệ quy liên tục phát triển cho đến khi chạm giới hạn hệ điều hành.
Cách lỗ hổng CVE logic này ảnh hưởng đến EDR
Khi các sản phẩm bảo mật quét đệ quy các thư mục bị thao túng, engine quét tiếp tục đi theo những đường dẫn được sinh ra vô hạn. EDR bị tiêu tốn hoàn toàn trong vòng lặp thư mục và có thể treo trước khi hoàn tất nhiệm vụ kiểm tra.
Hệ quả là payload độc hại đặt cạnh junction có thể không được quét, dẫn tới tình trạng hệ thống bị xâm nhập mà agent trên endpoint không phát hiện được. Đây là một dạng nguy cơ bảo mật do logic file system, không phải khai thác bộ nhớ hay chiếm quyền thực thi trực tiếp.
Lệnh CLI tạo junction
Attacker chỉ cần dùng lệnh mklink /J trong Windows Terminal để tạo liên kết thư mục đến mục tiêu.
mklink /J C:\path\child C:\path\parentLệnh trên tạo một junction từ child trỏ về parent. Nếu được lặp lại theo mô hình đệ quy, cấu trúc thư mục có thể gây ra tình trạng quét vô hạn.
Kiểm chứng và tác động thực tế
Các nhà nghiên cứu đã xác thực kỹ thuật GhostTree bằng cách kiểm tra trực tiếp trên Windows Defender. Kết quả cho thấy engine quét có thể bị mắc kẹt trong vòng lặp đường dẫn, làm giảm hiệu quả phát hiện xâm nhập.
Trong bối cảnh này, vấn đề chính không nằm ở việc vượt qua một ranh giới bảo mật truyền thống, mà là làm gián đoạn pipeline phân tích của phát hiện tấn công trên endpoint. Vì vậy, các giải pháp bảo mật thông tin chỉ dựa vào quét đệ quy tại lớp file system sẽ có rủi ro bị vô hiệu hóa một phần.
Microsoft ban đầu đã đóng báo cáo lỗi với nhận định rằng việc vượt qua engine antivirus không được xem là vượt qua một security boundary xác định. Tuy nhiên, sau đó bản vá đã được phát hành để xử lý điểm yếu liên quan đến quét đệ quy.
Tham khảo thêm tài liệu liên quan về EDR tại nguồn ngoài đáng tin cậy: https://cybersecuritynews.com/best-edr-tools/.
Khuyến nghị giám sát và phát hiện xâm nhập
Do lỗ hổng CVE kiểu logic này có thể làm tê liệt công cụ quét, tổ chức cần triển khai chiến lược defense-in-depth để giảm rủi ro. Trọng tâm là giám sát sự kiện truy cập file ở lớp dữ liệu thay vì chỉ phụ thuộc vào kết quả quét endpoint.
Đội ngũ SOC nên theo dõi các dấu hiệu tạo junction bất thường và các cấu trúc thư mục đệ quy lệch khỏi mẫu vận hành bình thường. Đây là điểm then chốt để phát hiện xâm nhập sớm trước khi payload được thực thi.
IOC cần theo dõi
- NTFS junction được tạo bằng mklink /J trong thư mục nhạy cảm.
- Cấu trúc thư mục đệ quy quay ngược về thư mục cha hoặc liên kết chéo giữa nhiều thư mục con.
- Đường dẫn phát triển bất thường, lặp lại liên tục và tiệm cận giới hạn 260 ký tự.
- Phiên quét của EDR kéo dài bất thường, treo hoặc không trả về kết quả hoàn tất.
Điểm cần lưu ý trong kiểm tra hệ thống
Khi đánh giá rủi ro bảo mật, cần phân biệt giữa thư mục hợp lệ và cấu trúc liên kết tạo vòng lặp. Nếu hệ thống giám sát phát hiện các junction mới xuất hiện cùng với hành vi quét đệ quy bất thường, đây là tín hiệu quan trọng của mối đe dọa mạng liên quan đến né tránh phân tích.
Trong ngữ cảnh an ninh mạng, kỹ thuật này cho thấy một điểm yếu rõ ràng của quy trình quét file dựa trên duyệt cây thư mục tuần tự. Vì vậy, việc phát hiện lỗ hổng zero-day theo hướng logic file system cần kết hợp kiểm tra metadata, quan hệ liên kết thư mục và trạng thái hoạt động của agent bảo mật.
Liên hệ với cập nhật bản vá bảo mật
Bản vá đã được phát hành để khắc phục hành vi quét đệ quy dễ bị lợi dụng. Dù vậy, cập nhật bản vá vẫn cần đi kèm giám sát sau triển khai để xác minh rằng cơ chế bảo mật mạng và an toàn dữ liệu không còn bị ảnh hưởng bởi các vòng lặp junction tương tự.
Trong thực tế vận hành, việc theo dõi cảnh báo CVE, kiểm tra thay đổi trên file system và phân tích hành vi của EDR là các bước cần được duy trì liên tục để giảm nguy cơ bảo mật phát sinh từ các cấu trúc thư mục bất thường.
