O artigo explora como junctions e links simbólicos do sistema de arquivos NTFS podem ser utilizados por atacantes para criar estruturas de diretórios recursivas, conhecidas como GhostTree e GhostBranch. Essas técnicas permitem que um usuário, sem privilégios administrativos, crie loops que geram caminhos de arquivos praticamente infinitos. Isso pode dificultar a detecção de arquivos maliciosos, pois ferramentas de segurança, como produtos EDR, podem ficar presas nesses loops, deixando os arquivos maliciosos sem exame. O GhostBranch é uma técnica mais simples que cria um loop lógico ao apontar um diretório filho de volta para o diretório pai, enquanto o GhostTree expande essa ideia, permitindo múltiplos diretórios filhos que também se conectam ao pai, aumentando exponencialmente o número de caminhos válidos. O artigo destaca a importância de monitorar a atividade do sistema de arquivos para detectar essas anomalias e sugere que a visibilidade e o controle de acesso são cruciais para a proteção de dados sensíveis. A técnica foi testada contra o Windows Defender, confirmando sua eficácia em evitar a detecção de malware. A Varonis, autora do artigo, oferece soluções para monitoramento e proteção de dados em ambientes corporativos.
Fonte: https://www.bleepingcomputer.com/news/security/ghosttree-attack-abused-recursive-windows-junctions-to-hide-malware/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
16/06/2026 • Risco: ALTO
MALWARE
Técnicas de Ataque com Junctions NTFS: O Caso do GhostTree
RESUMO EXECUTIVO
A técnica GhostTree representa uma nova forma de ataque que pode comprometer a segurança de sistemas Windows, permitindo que malware permaneça indetectado. A capacidade de criar caminhos infinitos torna a detecção de arquivos maliciosos extremamente difícil, exigindo que as organizações adotem medidas de monitoramento mais rigorosas para proteger dados sensíveis.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido a vazamentos de dados e interrupções operacionais.
Operacional
Malware não detectado devido a loops de diretórios.
Setores vulneráveis
['Tecnologia', 'Finanças', 'Saúde']
📊 INDICADORES CHAVE
Até 2^126 ≈ 8.5 × 10^37 caminhos válidos gerados.
Indicador
Limite tradicional de 260 caracteres para caminhos.
Contexto BR
Número de grãos de areia na Terra: 8.5 × 10^18.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar a criação de junctions NTFS em diretórios críticos.
2
Implementar monitoramento de atividades de sistema de arquivos para detectar anomalias.
3
Monitorar continuamente padrões de acesso a arquivos e criação de diretórios.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a capacidade de atacantes de evadir detecções de malware, o que pode resultar em comprometimento de dados sensíveis.
⚖️ COMPLIANCE
Implicações para a LGPD em caso de vazamento de dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
