TEKNOVYA

Teknoloji, İnovasyon ve Yapay Zeka Haberleri

Ana Sayfa/Siber Güvenlik
Siber Güvenlik4 dakika

GhostTree Saldırısı: Windows NTFS Junction'larını Kullanarak Kötü Amaçlı Yazılımları Gizleme Tekniği

T
Teknovya
Teknoloji Editörü
28 gün önce
GhostTree tekniğiyle Windows NTFS dosya sistemi üzerinde oluşturulan özyinelemeli dizin yapısı

GhostTree tekniğiyle Windows NTFS dosya sistemi üzerinde oluşturulan özyinelemeli dizin yapısı

GhostTree Saldırısı: Windows NTFS Junction'larını Kullanarak Kötü Amaçlı Yazılımları Gizleme Tekniği

Siber güvenlik dünyasında yeni bir tehdit daha ortaya çıktı. Varonis araştırmacıları, GhostTree adını verdikleri yenilikçi bir saldırı tekniğini kamuoyuyla paylaştı. Bu teknik, Windows işletim sisteminin dosya sistemi özelliklerini istismar ederek antivirüs yazılımlarını ve güvenlik çözümlerini atlatmayı başarıyor. Özellikle kurumsal ağlarda ciddi risk oluşturabilecek yöntem, siber güvenlik uzmanlarının dikkatini çekmeyi başardı.

GhostTree saldırısının temelinde, Windows NTFS (New Technology File System) üzerinde bulunan junction noktaları ve sembolik bağlantılar (symbolic links) yer alıyor. Bu dosya sistemi özellikleri normalde kullanıcıların farklı dizinler arasında köprüler kurmasına olanak tanıyor. Ancak siber saldırganlar bu özelliği kötüye kullanarak özyinelemeli döngüler oluşturabiliyor. Bir dosya yolunun kendi kendine referans verecek şekilde yapılandırılması, sistemin dosya erişiminde sonsuz bir döngüye girmesine neden oluyor.

Araştırmacıların en çarpıcı bulgularından biri, bu tekniğin üretebileceği varyasyon sayısı oldu. Geçerli bir dosya yolundan yola çıkarak, 8.5 x 10^37 (yaklaşık 85 septilyon) benzersiz dosya yolu kombinasyonu oluşturmak mümkün. Bu devasa sayı, geleneksel antivirüs çözümlerinin tarama stratejilerini tamamen işlevsiz hale getiriyor. Hiçbir güvenlik yazılımı bu kadar çok olasılığı gerçek zamanlı olarak analiz edemeyeceğinden, saldırganlar dosyalarını güvenle gizleyebiliyor.

GhostTree tekniğinin en tehlikeli boyutlarından biri de Microsoft Defender dahil önde gelen uç nokta güvenlik çözümlerini atlatabilmesi. Normal koşullarda antivirüs yazılımları şüpheli dosyaları tarayarak kötü amaçlı yazılım imzalarını tespit eder. Ancak junction noktaları ve sembolik bağlantılarla oluşturulan özyinelemeli yapılar, tarama araçlarının dosyaya erişmesini engelliyor. Sonuç olarak, kötü amaçlı yazılım içeren dosyalar taranamaz hale geliyor ve sistemde uzun süre fark edilmeden kalabiliyor.

Bu saldırı tekniği, özellikle aşağıdaki senaryolarda ciddi risk oluşturuyor:

Varonis uzmanları, bu tehdide karşı alınabilecek önlemler konusunda da önerilerde bulundu. Kuruluşların NTFS junction ve sembolik bağlantı oluşturma yeteneklerini kısıtlaması, dosya sistemi izinlerini sıkılaştırması ve davranışsal analiz tabanlı güvenlik çözümlerine yatırım yapması gerektiği vurgulandı. Ayrıca User Account Control (UAC) ayarlarının gözden geçirilmesi ve anormal dosya sistemi etkinliklerinin izlenmesi, GhostTree benzeri saldırıların erken tespiti için kritik öneme sahip. Siber güvenlik topluluğu, işletim sistemi üreticilerinden bu tür istismarlara karşı daha sağlam koruma mekanizmaları geliştirmesini bekliyor.

GhostTree Saldırısı: Windows NTFS Junction'larını Kullanarak Kötü Amaçlı Yazılımları Gizleme Tekniği

Siber güvenlik dünyasında yeni bir tehdit daha ortaya çıktı. Varonis araştırmacıları, GhostTree adını verdikleri yenilikçi bir saldırı tekniğini kamuoyuyla paylaştı. Bu teknik, Windows işletim sisteminin dosya sistemi özelliklerini istismar ederek antivirüs yazılımlarını ve güvenlik çözümlerini atlatmayı başarıyor. Özellikle kurumsal ağlarda ciddi risk oluşturabilecek yöntem, siber güvenlik uzmanlarının dikkatini çekmeyi başardı.

GhostTree saldırısının temelinde, Windows NTFS (New Technology File System) üzerinde bulunan junction noktaları ve sembolik bağlantılar (symbolic links) yer alıyor. Bu dosya sistemi özellikleri normalde kullanıcıların farklı dizinler arasında köprüler kurmasına olanak tanıyor. Ancak siber saldırganlar bu özelliği kötüye kullanarak özyinelemeli döngüler oluşturabiliyor. Bir dosya yolunun kendi kendine referans verecek şekilde yapılandırılması, sistemin dosya erişiminde sonsuz bir döngüye girmesine neden oluyor.

Araştırmacıların en çarpıcı bulgularından biri, bu tekniğin üretebileceği varyasyon sayısı oldu. Geçerli bir dosya yolundan yola çıkarak, 8.5 x 10^37 (yaklaşık 85 septilyon) benzersiz dosya yolu kombinasyonu oluşturmak mümkün. Bu devasa sayı, geleneksel antivirüs çözümlerinin tarama stratejilerini tamamen işlevsiz hale getiriyor. Hiçbir güvenlik yazılımı bu kadar çok olasılığı gerçek zamanlı olarak analiz edemeyeceğinden, saldırganlar dosyalarını güvenle gizleyebiliyor.

GhostTree tekniğinin en tehlikeli boyutlarından biri de Microsoft Defender dahil önde gelen uç nokta güvenlik çözümlerini atlatabilmesi. Normal koşullarda antivirüs yazılımları şüpheli dosyaları tarayarak kötü amaçlı yazılım imzalarını tespit eder. Ancak junction noktaları ve sembolik bağlantılarla oluşturulan özyinelemeli yapılar, tarama araçlarının dosyaya erişmesini engelliyor. Sonuç olarak, kötü amaçlı yazılım içeren dosyalar taranamaz hale geliyor ve sistemde uzun süre fark edilmeden kalabiliyor.

Bu saldırı tekniği, özellikle aşağıdaki senaryolarda ciddi risk oluşturuyor:

Varonis uzmanları, bu tehdide karşı alınabilecek önlemler konusunda da önerilerde bulundu. Kuruluşların NTFS junction ve sembolik bağlantı oluşturma yeteneklerini kısıtlaması, dosya sistemi izinlerini sıkılaştırması ve davranışsal analiz tabanlı güvenlik çözümlerine yatırım yapması gerektiği vurgulandı. Ayrıca User Account Control (UAC) ayarlarının gözden geçirilmesi ve anormal dosya sistemi etkinliklerinin izlenmesi, GhostTree benzeri saldırıların erken tespiti için kritik öneme sahip. Siber güvenlik topluluğu, işletim sistemi üreticilerinden bu tür istismarlara karşı daha sağlam koruma mekanizmaları geliştirmesini bekliyor.

Kaynaklar

#Siber Güvenlik#Windows#NTFS#GhostTree#Kötü Amaçlı Yazılım#Varonis

Yorumlar (0)

Henüz yorum yapılmamış.

Daha Fazlası: Siber Güvenlik