الوكاد
هجوم GhostTree يستغل مسارات ويندوز اللانهائية لإخفاء البرمجيات الخبيثة
برمجيات خبيثة وفديةعالٍ

هجوم GhostTree يستغل مسارات ويندوز اللانهائية لإخفاء البرمجيات الخبيثة

BleepingComputer2 دقائق قراءة

باختصار

  • تقنية GhostTree تُنشئ حلقات دائرية في نظام الملفات NTFS تجعل مسارات المجلدات لانهائية، ما يُعطّل مسح برامج الأمن ويُخفي البرمجيات الخبيثة.
  • لا تستلزم العملية صلاحيات إدارية، إذ يكفي امتلاك إذن الكتابة لإنشاء الوصلات، ما يجعل الهجوم متاحاً لأي مستخدم عادي.
  • مايكروسوفت أصدرت تصحيحاً للمشكلة رغم أنها وصفت في بادئ الأمر تجاوز Windows Defender بأنه لا يُعدّ اختراقاً لحدود أمنية.

ماذا حدث

كشف باحثو شركة Varonis عن تقنية هجومية جديدة أطلقوا عليها اسم GhostTree، تستغل ميزة الوصلات (Junctions) في نظام ملفات NTFS الخاص بويندوز لإنشاء مسارات مجلدات لانهائية ودائرية، تُشلّ قدرة أدوات الأمن على إتمام عمليات المسح، ومن ثَمّ تُخفي البرمجيات الخبيثة (Malware) الموجودة في المجلد ذاته.

التفاصيل

### آلية عمل وصلات NTFS

وصلة NTFS أو ما يُعرف بـ Junction هي نوع من نقاط إعادة التحليل (Reparse Points) تُعيد توجيه مجلد إلى آخر، وتعمل بشكل شفاف بالنسبة للتطبيقات. إنشاؤها لا يتطلب سوى إذن الكتابة على المجلد الهدف، دون أي صلاحيات إدارية، عبر أمر بسيط في موجه الأوامر:

`mklink /J C:\LinkToFolder C:\TargetFolder`

### تقنية GhostBranch: الأساس

التقنية الأولى التي وصفها الباحثون تُسمى GhostBranch، وتقوم على توجيه مجلد فرعي ليعود ويُشير إلى مجلده الأصل، ما يُولّد حلقة دائرية. فمثلاً إذا كان الملف موجوداً في `C:\Parent\program.exe` وأُنشئت وصلة تُعيد `C:\Parent\Child` إلى `C:\Parent`، يصبح الملف ذاته قابلاً للوصول عبر مسارات متعددة كـ:

  • `C:\Parent\Child\Program.exe`
  • `C:\Parent\Child\Child\Program.exe`
  • `C:\Parent\Child\Child\Child\Program.exe`

بسبب الحد الأقصى لطول مسارات ويندوز التقليدية البالغ 260 محرفاً، تُنتج هذه التقنية نحو 126 مساراً فريداً.

### تقنية GhostTree: التصعيد الهائل

تبني GhostTree على المفهوم السابق بإضافة مجلدين فرعيين أو أكثر يعودان كلاهما إلى نفس الأصل، فمثلاً:

``` mklink /J C:\Parent\Child1 C:\Parent mklink /J C:\Parent\Child2 C:\Parent ```

هنا يُصبح كل مستوى في المسار قابلاً للتفرع عبر Child1 أو Child2، مما يُشبه بنية الشجرة الثنائية (Binary Tree). مع الحفاظ على الحد الأقصى البالغ 126 مستوى، يبلغ عدد المسارات الفريدة الممكنة نظرياً 2^126 ≈ 8.5 × 10^37، وهو رقم يفوق عدد ذرات جسم الإنسان (10^27) وعدد حبات الرمل على الأرض (8.5 × 10^18).

### الأثر الفعلي على أدوات الحماية

حين يضع المهاجم برمجية خبيثة في المجلد الأصلي ثم يُنشئ هيكل GhostTree، تقع أدوات المسح الأمني في فخ الحلقة الدائرية فتستمر في التتبع دون أن تنتهي. اختبر الباحثون هذا الأسلوب ضد Windows Defender وأكدوا قدرته على تجاوز (Bypass) عمليات مسح المجلدات.

أبلغت Varonis مايكروسوفت بالمشكلة، غير أن الشركة أغلقت التذكرة في البداية بحجة أن «تجاوز Defender لا يُعدّ اختراقاً لحدود أمنية»، إلا أنها أصدرت تصحيحاً لاحقاً رغم ذلك الموقف.

لماذا يهمّك

الخطورة الحقيقية لهذه التقنية تكمن في بساطتها: سطران من الكود يكفيان لجعل مجلد بأكمله غير قابل للمسح الأمني. وبما أن إنشاء الوصلات لا يستلزم صلاحيات المدير، فإن أي مستخدم عادي أو أي برمجية خبيثة تعمل بصلاحيات محدودة يمكنها توظيف هذا الأسلوب. يُعيد هذا الأمر التذكير بأن آليات المسح الفوري للنقاط الطرفية (Endpoint Scanning) ليست سوى طبقة واحدة من طبقات الدفاع، وليست ضماناً كافياً بمفردها.

توصيات

  • **رصد نشاط نظام الملفات**: مراقبة عمليات إنشاء الوصلات غير المعتادة والهياكل الدائرية في المجلدات التي لا مبرر تشغيلياً لها.
  • **تطبيق التحديثات**: التأكد من تثبيت آخر تصحيحات ويندوز التي تعالج هذه المشكلة.
  • **عدم الاعتماد الكلي على المسح اللحظي**: دمج حلول مراقبة سلوك الملفات والبيانات مع أدوات الكشف والاستجابة للنقاط الطرفية (EDR) لتحقيق تغطية أشمل.
  • **مراجعة سياسات الأذونات**: الحدّ من صلاحيات الكتابة في المجلدات الحساسة قدر الإمكان لتقليص سطح الهجوم.
#NTFS#Windows#جانكشن#تهرب من الكشف#EDR bypass#Windows Defender#Varonis#GhostTree#أمن نقاط النهاية

مقالات ذات صلة