지니

[EDR 우회] Ghost Tree - AI 작성

개요Varonis Threat Labs가 공개한 GhostTree는 Windows NTFS의 Junction 기능을 악용해 무한에 가까운 파일 경로 구조를 만들고, 일부 EDR이나 백신 제품의 폴더 스캔을 지연시키거나 멈추게 만드는 경로 조작 기법이다. Varonis는 이 기법이 NTFS Junction을 이용해 무한 파일 경로를 생성하고, 그 결과 EDR 제품이 hang 상태에 빠져 일부 파일을 검사하지 못할 수 있다고 설명했다.이 기법의 핵심은 단순하다. Windows에서 특정 폴더가 다른 폴더를 가리키도록 만들 수 있는데, 이 가리키는 대상이 자기 자신 또는 부모 폴더라면 파일 시스템 구조가 반복된다. 보안 제품이 이 구조를 재귀적으로 따라가며 검사하면, 같은 위치를 서로 다른 경로로 계속 탐색하게..