L'Attaque GhostTree : Exploitation des Points de Jonction NTFS Récursifs pour Dissimuler des Malwares

L'écosystème des systèmes d'exploitation Windows repose sur des mécanismes fondamentaux tels que les points de jonction (junctions) NTFS. Cependant, ces mêmes mécanismes, lorsqu'ils sont détournés, peuvent être exploités par des attaquants pour créer des chemins de fichiers complexes et trompeurs. L'attaque GhostTree illustre comment l'abus des jonctions NTFS récursives peut générer un volume massif de chemins de fichiers valides, créant ainsi un camouflage sophistiqué pour dissimuler des logiciels malveillants, mettant potentiellement en péril l'efficacité des solutions de sécurité comme Microsoft Defender.

En bref

• Mécanisme d'attaque : Utilisation abusive des points de jonction NTFS récursifs pour générer une quantité exponentielle de chemins de fichiers valides.
• Objectif : Masquer des fichiers malveillants en les rendant inaccessibles ou difficiles à détecter par les systèmes de sécurité basés sur l'analyse des chemins.
• Impact sur la sécurité : Saturation des systèmes de détection et potentiellement contournement des mécanismes de surveillance des EDR/antivirus.
• Vulnérabilité exploitée : La manière dont les systèmes interprètent et indexent les structures de répertoires complexes créées par des jonctions.

1. Comprendre les Points de Jonction NTFS et leur Potentiel Abusif

Les points de jonction NTFS sont des objets spéciaux qui permettent de créer un lien symbolique vers un autre fichier ou répertoire, offrant une illusion de structure de répertoire sans dupliquer physiquement les données. Bien qu'ils soient une fonctionnalité légitime pour optimiser les performances ou gérer des structures de fichiers complexes, leur utilisation malveillante introduit une complexité intentionnelle.

L'attaque GhostTree exploite la nature récursive de ces jonctions. En créant une structure où chaque niveau de répertoire est lié à un autre via une jonction, l'attaquant peut générer un nombre astronomique de chemins d'accès qui, pour un scanner de sécurité, apparaissent comme des structures de fichiers légitimes et valides. Le problème réside dans la capacité du système à suivre et à analyser cette arborescence imbriquée, ce qui peut entraîner une surcharge ou, pire, une omission des éléments malveillants.

Configuration Technique Illustrative : Création d'une Structure de Jonction

Pour comprendre la mécanique, voici une approche conceptuelle de la création d'une structure complexe :

# Exemple conceptuel (doit être adapté à l'environnement de l'attaquant)
New-Item -Path "C:\Root\Level1" -ItemType Directory
New-Item -Path "C:\Root\Level1\Link1" -ItemType Junction -Target "C:\Root\Level2"
New-Item -Path "C:\Root\Level2" -ItemType Directory
# Répéter la structure de manière récursive pour créer la profondeur

2. Le Mécanisme GhostTree : Génération de Chemins Trompeurs

L'essence de l'attaque GhostTree réside dans la génération intentionnelle de chemins de fichiers qui existent sur le disque mais qui sont difficiles à retracer par les outils de sécurité. Plutôt que de placer le malware dans un emplacement simple et évident, l'attaquant utilise la profondeur et la complexité des jonctions pour disperser les artefacts malveillants à travers une structure qui ressemble à une structure de données normale du système.

Lorsque Microsoft Defender ou tout autre outil de sécurité tente d'indexer ou de scanner le système, il doit parcourir ces chemins. Si la profondeur de la récursivité est suffisante, le nombre de chemins potentiels à vérifier explose, augmentant le temps de scan et augmentant la probabilité que le malware soit ignoré dans le bruit de fond structurel.

Impact sur la Détection

L'objectif n'est pas seulement de cacher un fichier, mais de tromper l'analyse comportementale et structurelle. Les systèmes de détection basés sur des signatures ou des règles simples peuvent échouer car le chemin d'accès unique du malware n'est pas direct, mais est masqué derrière une série de liens virtuels.

3. Implications pour la Sécurité des Systèmes et la Défense

L'exploitation de cette technique soulève des questions critiques pour les équipes de sécurité concernant la robustesse des mécanismes de détection. La capacité à générer des structures de fichiers légitimes mais trompeuses oblige les outils de sécurité à passer d'une analyse basée sur la localisation simple à une analyse sémantique et structurelle profonde.

Défis pour les Solutions de Sécurité

1. Surcharge de l'Indexation : Les scanners peuvent être ralentis ou abandonner l'analyse si la profondeur des chemins devient excessive, privilégiant la performance au détriment de la détection.
2. Analyse Contextuelle : Nécessité d'outils capables de distinguer une jonction légitime d'une jonction utilisée pour masquer une activité malveillante.
3. Reconnaissance des Structures : Les solutions doivent être capables de modéliser la structure du système de fichiers pour identifier les schémas anormaux créés par des mécanismes d'accès complexes.

Stratégies de Mitigation Technique

Pour contrer ce type d'attaque, les consultants IT doivent se concentrer sur l'amélioration des capacités de surveillance au niveau du noyau et de l'analyse comportementale des I/O (Input/Output).

Configuration de Surveillance Avancée (Exemple conceptuel)

Il est crucial de surveiller les opérations système qui créent ou modifient massivement des objets de type jonction, surtout lorsqu'ils sont créés dans des répertoires non conventionnels ou avec une profondeur significative.

# Exemple de surveillance (conceptuel pour un outil EDR/Sysmon)
# Détecter la création de multiples junctions dans un court laps de temps
Get-EventLog -LogName System -FilterXPath "*[System[(EventID=4663) and (TargetObjectName like '*\junction*')]" | Where-Object { $_.TimeCreated -gt (Get-Date).AddMinutes(-5) } | Export-Csv -Path "C:\Logs\Junction_Activity.csv"

4. Bonnes Pratiques pour les Consultants IT

En tant que consultants spécialisés en administration système, réseau et sécurité, il est impératif d'intégrer la compréhension des techniques d'évasion basées sur les structures de fichiers dans votre posture défensive.

• Audit des Permissions NTFS : Vérifiez les permissions sur les répertoires critiques. Une mauvaise configuration des droits peut faciliter la création de ces structures complexes par un compte compromis.
• Surveillance des API du Système : Mettez en place des hooks ou des outils de surveillance des appels système qui manipulent les objets du système de fichiers (comme NtCreateFile ou des appels spécifiques à NTFS) pour détecter les schémas de création de liens complexes.
• Analyse du Comportement des Processus : Surveillez les processus qui montrent un comportement inhabituel en termes de création massive d'objets de fichiers ou de liens, surtout ceux qui opèrent à un niveau bas du système.
• Segmentation et Micro-segmentation : Bien que l'attaque soit centrée sur le système de fichiers local, une bonne segmentation réseau limite la capacité d'un malware à propager et à établir ces structures complexes sur l'ensemble du parc.

Points Clés

• Complexité comme Camouflage : L'abus des fonctionnalités natives du système d'exploitation (comme les jonctions NTFS) est une tactique d'évasion de plus en plus sophistiquée.
• Détection Contextuelle : Les solutions de sécurité doivent analyser non seulement ce qui est présent, mais comment les éléments sont interconnectés.
• Vigilance sur les Opérations Système : Surveiller les événements liés à la création et la modification des objets système (notamment les junctions) est une ligne de défense essentielle.
• Passer à l'Analyse Comportementale : Les signatures statiques sont insuffisantes face à des techniques qui manipulent la structure du système de fichiers pour masquer des artefacts.

Source : BleepingComputer