GhostTree: Windows-Malware nutzt NTFS-Junctions gegen Scanner
16.06.2026 - 21:29:37 | boerse-global.de
Die als GhostTree bezeichnete Technik nutzt ein normales Windows-Feature aus, um Virenscanner in Endlosschleifen zu schicken.
Wie GhostTree funktioniert
Im Kern manipuliert GhostTree sogenannte NTFS-Junctions – eine standardmäßige Windows-Funktion zur Verknüpfung von Verzeichnissen. Die Sicherheitsfirma Varonis fand heraus, dass sich durch rekursive Strukturen, bei denen ein Ordner auf sich selbst oder seinen Elternordner verweist, rund 8,5 x 10^37 gültige Dateipfade erzeugen lassen.
Angreifer nutzen immer häufiger legitime Windows-Funktionen, um Sicherheitssoftware wie den Defender gezielt auszuhebeln. In diesem kostenlosen E-Book erfahren Unternehmer, wie sie solche Sicherheitslücken schließen und ihre IT-Infrastruktur proaktiv schützen. IT-Sicherheit stärken und Bedrohungen abwenden
Das Besondere: Der Angriff benötigt nur wenige Befehle und keinerlei Administratorrechte. Versucht ein Sicherheitsscanner wie Microsoft Defender, diese Verzeichnisse während eines Routinescans zu durchlaufen, gerät er in eine Endlosschleife. Der Scan bleibt stecken – die versteckte Malware bleibt unentdeckt.
Microsoft reagiert mit Patch
Nach der Veröffentlichung durch Varonis hat Microsoft einen Patch bereitgestellt. Der Konzern stufte das Problem zwar nicht als Sicherheitslücke im klassischen Sinne ein, änderte aber die Art und Weise, wie Windows mit rekursiven Junctions umgeht. Ziel war es, Sicherheitsscanner nicht länger blenden zu können.
Branchenbeobachter betonen die Tücke der Methode: GhostTree nutzt legitime Systemfunktionen, um einen Denial-of-Service-Zustand für Sicherheitssoftware zu erzeugen. Tests bestätigten, dass die rekursiven Pfade vor dem Patch problemlos Microsoft Defender blockieren konnten.
Weitere Angriffswellen auf Windows-Systeme
Die GhostTree-Enthüllung reiht sich ein in eine Serie von Berichten über ausgeklügelte Umgehungsstrategien. So identifizierten Forscher von ESET neue Windows-Varianten der SprySOCKS-Malware mit den Bezeichnungen WIN_DRV und WIN_PLUS. Die der Hackergruppe FishMonger (auch bekannt als Earth Lusca) zugeschriebenen Varianten sind seit 2023 aktiv. Sie nutzen einen Kernel-Mode-Rootkit, um Prozesse, Registrierungsschlüssel und Netzwerkverbindungen zu verbergen. Ziel waren Regierungsbehörden in Thailand, Taiwan, Pakistan und Honduras.
Da Cyberkriminelle ihre Methoden ständig verfeinern, sind herkömmliche Schutzmaßnahmen für Firmen oft nicht mehr ausreichend. Dieser Gratis-Report klärt darüber auf, welche neuen Cyberrisiken und rechtlichen Pflichten auf Unternehmen zukommen. Aktuelle Cyber-Security-Trends jetzt kostenlos lesen
Parallel dazu berichtete Symantec, dass die DragonForce-Ransomware-Gruppe die Microsoft-Teams-Infrastruktur zweckentfremdet. In einem Angriff auf einen US-Dienstleister ab Dezember 2025 nutzte die Gruppe eine Go-basierte Hintertür, um die Kommunikation mit dem Kommando-Server über Teams-TURN-Relays zu leiten. Es ist der erste bekannte Fall, bei dem diese Infrastruktur zur Verschleierung von Malware-Traffic diente.
Open-Source-Tool erleichtert Netzwerkzugriff
Anfang Juni erschien zudem das Open-Source-Tool DPAPISnoop. Es extrahiert historische Passwort-Hashes aus Windows-Dateien und ermöglicht so die laterale Bewegung innerhalb von Netzwerken – sofern ein Master-Key erlangt wurde.
Die jüngsten Entwicklungen zeigen einen klaren Trend: Angreifer und Sicherheitsforscher entdecken ständig neue Wege, native Windows-Komponenten zu umgehen oder für ihre Zwecke zu missbrauchen.
