Auf den Punkt: Rekursive NTFS-Junctions ermöglichen es Angreifern, Defender-Scans zum Aufhängen zu bringen und Malware unerkannt zu halten.
Eine Angriffsgruppe mit dem Namen GhostTree nutzt rekursive NTFS-Junctions, um eine riesige Anzahl valider Windows-Dateipfade zu erzeugen und damit Antivirus-Scans zu blockieren. Das Verfahren kann dazu führen, dass Microsoft Defender die Verzeichnisprüfung nie abschließt.
Die Angriffsgruppe GhostTree exploitiert eine Eigenschaft der NTFS-Dateisystemstruktur: Durch die Erstellung rekursiver Junctions (Verbindungen zwischen Verzeichnissen) lässt sich eine praktisch unbegrenzte Anzahl gültiger Dateipfade generieren. Jedes Junction kann auf ein übergeordnetes oder anderes Verzeichnis verweisen und so eine sich selbst erzeugend wiederholende Pfadstruktur aufbauen.
Der praktische Effekt dieser Technik liegt in der Überbelastung von Scan-Mechanismen: Sicherheitslösungen wie Microsoft Defender, die Verzeichnisscans durchführen, geraten in eine Endlosschleife, wenn sie versuchen, alle vermeintlich existierenden Pfade zu untersuchen. Die Scan-Operation wird nie abgeschlossen, Timeouts können ausgelöst werden, und das System bleibt in diesem blockierten Zustand stecken. Während der Scan läuft und hängenbleibt, kann Malware in den echten Dateisystem-Bereichen verborgen bleiben und unentdeckt arbeiten.
Für Chief Information Security Officer (CISO) ist diese Attackvariante relevant, da sie zeigt, dass etablierte Sicherheitsprodukte durch einfache Dateisystem-Tricks paralysiert werden können — unabhängig von ihrer sonstigen Detection-Kapazität. Defender wird durch die Ressourcenerschöpfung unbrauchbar gemacht, ohne dass es zu einer klassischen Schwachstelle oder Sandbox-Escape kommt. Dies unterstreicht die Notwendigkeit, zusätzlich zu automatisierten Scans auch verhaltenserkennung, Bedrohungsjagd und Netzwerk-überwachung einzusetzen, um solche Evasionsmethoden zu durchschauen.
Quelle: www.bleepingcomputer.com · Erschienen 16. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.