C
月内に
WindowsのNTFSジャンクション機能を悪用して、再帰的なループ構造を作成し、マルウェアを隠蔽する「GhostTree」と呼ばれる攻撃手法
📌 一言でいうと
WindowsのNTFSジャンクション機能を悪用して、再帰的なループ構造を作成し、マルウェアを隠蔽する「GhostTree」と呼ばれる攻撃手法が発見されました。この手法を用いると、EDRなどのセキュリティツールが無限ループに陥り、ディレクトリのスキャンが完了しなくなるため、同じフォルダ内の悪意あるファイルが検出を免れる可能性があります。特権を必要とせず、書き込み権限があれば誰でも作成可能です。
🔍該当判定
- Windows OSを搭載したPCやサーバーを利用している
- ウイルス対策ソフトやEDR(エンドポイント検知・対応製品)を導入している
- 一般ユーザーにフォルダの作成・書き込み権限を与えている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
EDRやセキュリティスキャナが再帰ループを適切に処理し、タイムアウトや検知をスキップしていないかベンダーに確認すること。また、不審なディレクトリ構造やジャンクションの作成を監視する設定を検討してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Windows NTFSジャンクションを悪用した隠蔽手法(GhostTree)について
お疲れさまです。Windowsのファイルシステム機能を悪用した新しい隠蔽手法に関する情報共有です。
■ 概要
NTFSジャンクションを用いて再帰的なディレクトリループを作成し、EDR等のセキュリティツールのスキャンを妨害してマルウェアを隠蔽する「GhostTree」手法が報告されました。特権不要で作成可能であり、ツールがループに陥ることで検知を回避します。
■ 影響範囲
- Windows OSを利用する全環境
- 再帰的スキャンを行うEDR/アンチウイルス製品
■ 対応手順
1. 利用中のEDR/セキュリティ製品が、NTFSジャンクションの再帰ループを検知・回避できる仕様か確認する。
2. 不審なジャンクション作成(特に親ディレクトリへのリンク)を検知する監視ルールを検討する。
■ 参考情報
- Varonis 研究レポート
対応優先度: 中
対応期限: 次回セキュリティレビュー時
お疲れさまです。Windowsのファイルシステム機能を悪用した新しい隠蔽手法に関する情報共有です。
■ 概要
NTFSジャンクションを用いて再帰的なディレクトリループを作成し、EDR等のセキュリティツールのスキャンを妨害してマルウェアを隠蔽する「GhostTree」手法が報告されました。特権不要で作成可能であり、ツールがループに陥ることで検知を回避します。
■ 影響範囲
- Windows OSを利用する全環境
- 再帰的スキャンを行うEDR/アンチウイルス製品
■ 対応手順
1. 利用中のEDR/セキュリティ製品が、NTFSジャンクションの再帰ループを検知・回避できる仕様か確認する。
2. 不審なジャンクション作成(特に親ディレクトリへのリンク)を検知する監視ルールを検討する。
■ 参考情報
- Varonis 研究レポート
対応優先度: 中
対応期限: 次回セキュリティレビュー時
Subject: [Info] Malware Hiding Technique via Windows NTFS Junctions (GhostTree)
Dear team,
We are sharing information regarding a new evasion technique called "GhostTree" that leverages Windows NTFS junctions.
■ Overview
GhostTree creates recursive directory loops by pointing a junction back to its parent directory. This can cause security tools (including some EDRs) that perform recursive scanning to hang or fail, allowing malicious files in the same folder to remain undetected. This technique requires no administrative privileges.
■ Scope
- All Windows OS environments
- EDR/AV products relying on recursive directory scanning
■ Recommended Actions
1. Verify with your security vendors whether your current EDR/AV tools can handle or detect recursive NTFS junction loops.
2. Consider implementing monitoring for the creation of suspicious junctions, particularly those pointing to parent directories.
■ Reference
- Varonis Research Report
Priority: Medium
Deadline: Next security review
Dear team,
We are sharing information regarding a new evasion technique called "GhostTree" that leverages Windows NTFS junctions.
■ Overview
GhostTree creates recursive directory loops by pointing a junction back to its parent directory. This can cause security tools (including some EDRs) that perform recursive scanning to hang or fail, allowing malicious files in the same folder to remain undetected. This technique requires no administrative privileges.
■ Scope
- All Windows OS environments
- EDR/AV products relying on recursive directory scanning
■ Recommended Actions
1. Verify with your security vendors whether your current EDR/AV tools can handle or detect recursive NTFS junction loops.
2. Consider implementing monitoring for the creation of suspicious junctions, particularly those pointing to parent directories.
■ Reference
- Varonis Research Report
Priority: Medium
Deadline: Next security review