GhostTree
A Varonis kutatása szerint a GhostTree egy új NTFS-alapú technika, amely a Windows fájlrendszer sajátosságait használja ki arra, hogy rosszindulatú fájlokat vagy payloadokat elrejtsen a hagyományos biztonsági ellenőrzések elől. A módszer az NTFS kevésbé ismert funkcióira és metaadataira épít, amelyek lehetővé teszik, hogy egy fájl logikailag létezzen és futtatható legyen, miközben a felhasználó vagy egyes védelmi megoldások számára gyakorlatilag láthatatlan maradjon.
A technika veszélyes lehet forenzikai és EDR-szempontból, mert a támadók az NTFS struktúráit – például alternatív adatfolyamokat, speciális attribútumokat vagy ritkán monitorozott fájlrendszer-objektumokat – használhatják payloadok rejtésére. A Varonis szerint ez jól illeszkedik a modern living off the land és defense evasion trendekhez, ahol a támadók nem feltétlenül exploitokra építenek, hanem legitim rendszerfunkciókkal élnek vissza.
A klasszikus fájlalapú detekció egyre kevésbé elegendő Windows környezetekben. Az NTFS komplex funkcionalitása – amelyet eredetileg kompatibilitási és teljesítménycélokra fejlesztettek – ma már önálló támadási felületként jelenik meg, különösen fejlett APT- és malware-műveletek során.
