Giriş
Siber güvenlik alanında, NTFS junction’ları ve sembolik bağlantılar, çoğu güvenlik ekibi tarafından marjinal dosya sistemi özellikleri olarak düşünülmektedir. Ancak bu özellikler, kullanıcıların admin yetkisi olmadan bile karmaşık dosya yolları oluşturarak güvenlik açıklarına neden olabilir.
Saldırı Nasıl Çalışıyor?
NTFS junction’ları, bir dizini başka bir dizine yönlendiren ve yalnızca yazma yetkisi gerektiren bir NTFS tekrar okuma noktasıdır. Bu yeni yöntemde, bir junction’ın kendisini ana dizinine işaret ederek oluşturduğu döngülerle saldırganlar, etkili olarak sonsuz dosya yolları üretebiliyorlar. Bu durum, dosya tarama araçlarının loop içerisinde kaybolmasına neden olarak, kötü niyetli dosyaların taranmasını engelliyor. Bu tekniğe GhostTree adını verdik.
Etkilenen Sistemler
Windows işletim sistemi, NTFS dosya sistemiyle birlikte karmaşık yol yapısına sahiptir. Özellikle, aşağıdaki sürümler etkilenebilir:
- Windows 10
- Windows 11
- Windows Server 2016
- Windows Server 2019
GhostTree ve GhostBranch Teknikleri
GhostBranch , herhangi bir kullanıcının oluşturabileceği en basit yol tekniğidir. Aşağıdaki komut ile bir döngü oluşturularak, ana dizinin içerikleri çocuk dizininde de görünür hale gelir:
mklink /J C:ParentChild C:Parent
GhostTree yöntemi ise, birden fazla çocuk dizini oluşturmayı içerir. Örneğin, iki çocuk dizini oluşturarak, çok sayıda yol elde edebilirsiniz:
mklink /J C:ParentChild1 C:Parent
mklink /J C:ParentChild2 C:Parent
Bu yapı ile her seferinde farklı ve geçerli dosya yolları elde edilmekte, tarayıcılar tarafından tespit edilmeleri zorlaşmaktadır.
Dosya Yolu Hesaplamaları
GhostBranch ve GhostTree, her ikisi de maksimum Windows yol uzunluğuna kadar çıkabilir. GhostBranch tekniği, 260 karakterden az yol uzunluklarıyla sınırlıdırken, GhostTree ile çok daha fazla yol üretilir:
- GhostBranch : Yaklaşık 126 farklı dizin yapısı oluşturabilir.
- GhostTree : 2^126 kadar geçerli yolu olabilir, bu da yaklaşık 8.5 × 10^37 farklı yolu ifade eder.
Neden Bu Önemli?
Sadece iki kod satırı ile, kullanıcılar sonsuz geçerli yollar oluşturabilir ve bu durum, kötü niyetli dosyaların taranmasını imkansız hale getirebilir. Yani, Windows Defender gibi bir antivirüs aracı bile bu teknikle taramadan kaçınılabilir. Mühendislik ekipleri bu durumu fark etse de, kötü niyetli dosyaların yönetilen yapılara yerleştirilmesi hâlinde tarama tamamlanamaz.
Çözüm ve Korunma
Etkilenen sistemlerdeki güvenlik açıklarını kapatmak için:
- Windows’un en güncel sürümünü kullanın.
- Tarayıcı ayarlarınızı gözden geçirin ve EDR çözümlerini entegre edin.
- Dosya sisteminizdeki olağan dışı erişim ve yapı değişikliklerini sürekli izleyin.
Unutmayın, güncel kalmanın yanı sıra dosya sistemi etkinliklerini izlemek, güvenliğin önemli bir parçasını oluşturmaktadır.
Gerektiğinde sistem güncellemeleri yaparak ve gereksiz portları kapatarak önlem almalısınız. Siber tehditlere karşı her zaman proaktif olmak en iyi koruma yöntemidir.
