الجمعة 26 يونيو 2026 14:45:00 GMT+02:00

Netcrook

الرئيسيةالبيان
الأخبار
Corporate Security IncidentsCloud, SaaS & Identity SecurityIndustrial Cybersecurity & Critical InfrastructureCyber Intelligence, TrendsAI Security & Agentic SystemsCyber Intelligence & Threat TrendsCyber WarfareCyber Warfare & Nation-State OperationsCyber CriminalityBreaches & Data LeaksCybercrimeMalware & BotnetsRansomware & ExtortionSecurity Awareness & Social EngineeringLegal PolicyLegal, Policy & Government CybersecurityPrivacy, Regulation & ComplianceTechnology, InnovationTechnology, Innovation & Digital InfrastructureVulnerabilities Patch ManagementResearch, Exploits & Offensive SecurityVulnerabilities & Patch Management
Techcrook
Tutte le tecnologieIdentita e accessoFirewall e reteBackup e archiviazioneEnergia e continuitaPrivacy e sicurezza fisicaLaboratorio e prototipazioneStampa e tracciabilitaTecnologia quotidiana
Geocrook
AfricaAsiaEuropeMiddle EastNorth AmericaOceaniaSouth America
WikicrookالفريقAppاتصال
ArabicEnglishItaliano
البرمجيات الخبيثة والروبوتات

خدعة ملفات ويندوز التي قد تجعل الماسح يدور في حلقة مفرغة

16 يونيو 2026 18:34البرمجيات الخبيثة والروبوتاتأمريكا الشمالية / الولايات المتحدة الأمريكيةSIGNALMONK

يوضح نمط الوصلات البرمجية التكرارية المعروف باسم GhostTree كيف يمكن لبيانات وصف نظام الملفات أن تخلق خطر انفجار المسارات بالنسبة لأدوات الأمن، خاصة عندما لا تتم معالجة نقاط إعادة التحليل بحذر.

عادة ما يفكر المدافعون عن ويندوز من حيث التجزئات، والعمليات، والحمولات. يشير GhostTree إلى طبقة أهدأ من المخاطر: نظام الملفات نفسه. تعتمد التقنية الموصوفة في تحليل حديث على وصلات NTFS البرمجية التكرارية لتوليد عدد كبير من المسارات الصالحة انطلاقا من أدلة تبدو عادية، وهو ما قد يجعل الفحص التكراري بطيئا أو غير مكتمل أو غير مستقر في بعض البيئات.

التفصيل المهم هنا ليس استغلالا لافتا أو عائلة برمجيات خبيثة جديدة، بل هو مشكلة اجتياز. عندما يتتبع الماسح روابط الأدلة من دون وعي كاف بالحلقات، قد يظهر المحتوى نفسه تحت مسارات كثيرة، مما يجبر الأداة على قضاء الوقت في حل بيانات الوصف بدلا من فحص الملفات. وقد يخلق ذلك نقطة عمياء إذا توقفت محرك الفحص، أو تخطى بعض المسارات، أو توقف قبل الوصول إلى كل ما ينبغي فحصه.

حقائق سريعة

  • GhostTree هو اسم مستخدم لتقنية تستغل وصلات NTFS البرمجية التكرارية.
  • وصلات NTFS البرمجية هي نقاط إعادة تحليل للأدلة، وهي ميزة مشروعة في نظام ملفات ويندوز.
  • المشكلة هي استنزاف الفحص: يمكن لنمط المسارات التكرارية أن يرهق بعض منطق فحص المجلدات.
  • يتضمن Microsoft Defender سلوكا قابلا للتهيئة لفحص نقاط إعادة التحليل.
  • تزيد التقنية من خطر الرصد، لكنها لا تثبت أن أي نظام معين تم تجاوزه.

كيف تعمل الخدعة

في Microsoft Windows، يمكن لوصلة برمجية أن تعيد توجيه دليل إلى دليل آخر. هذا مفيد للإدارة، لكنه يعني أيضا أن مجلدا قد يشير مرة أخرى إلى بنية يكون الماسح قد بدأ بالفعل في استكشافها. وإذا تراكبت أو تعششت بما يكفي من هذه الروابط، فقد ينمو بسرعة عدد المسارات التي يتعين على الأداة حلها.

لهذا السبب يتعامل الباحثون الأمنيون مع نقاط إعادة التحليل كحالة خاصة. فالماسح الذي يعمل بشكل جيد على شجرة عادية قد يواجه صعوبة عندما تحتوي الشجرة على دورات أو مراجع مكررة. المشكلة ليست أن محتوى الملفات يتغير، بل أن رسم المسارات يصبح أكثر صعوبة في الاجتياز بأمان.

ومن منظور دفاعي، يكتسب هذا أهمية لأن الحماية الطرفية تعتمد غالبا على عد موثوق للعناصر. وإذا أمضى المحرك وقته في تتبع روابط الأدلة، فالمخاطر الحقيقية لا تقتصر على التأخير فحسب، بل تشمل أيضا احتمال فحص الملفات المشبوهة في وقت متأخر أو بصورة غير كاملة أو عدم فحصها إطلاقا.

لماذا يهم المدافعين

يذكرنا GhostTree بأن أدوات الأمن تحتاج إلى اختبارها ضد الحالات الحدية في نظام الملفات، لا ضد عينات البرمجيات الخبيثة المعروفة فقط. ينبغي التحقق من المنتجات وأدوات النسخ الاحتياطي من كشف الحلقات، وحدود التكرار المعقولة، والتعامل المتسق مع نقاط إعادة التحليل. كما ينبغي للمديرين حصر الوصلات البرمجية غير المعتادة في المواقع القابلة للكتابة، خاصة عندما تبدو بنية دليل ما أكثر تعقيدا مما ينبغي.

توضح وثائق Microsoft أن التعامل مع نقاط إعادة التحليل جزء قابل للتهيئة في المنصة، ما يعني أن السلوك قد يختلف حسب السياسة والتنفيذ. وهذا يجعل التحقق المحلي أمرا أساسيا. فقد يبدو إعداد ما آمنا في بيئة، لكنه قد يتصرف بشكل مختلف في بيئة أخرى، تبعا لكيفية تجول الماسح في الشجرة.

حتى وقت كتابة هذا النص، لا تثبت المعلومات العامة بالكامل النطاق الواقعي الكامل لهذه التقنية، أو ما إذا كانت أي عينة برمجية خبيثة معينة ظلت غير مكتشفة بسببها. وتدعم الأدلة المتاحة تحليلا للمخاطر، لا ادعاء شاملا بأن كل فحص في ويندوز معرض للخطر.

الخلاصة

GhostTree يتعلق بدرجة أقل بإخفاء الشيفرة، وبدرجة أكبر بتشويش منطق المسارات المحيط بها. وهذا الفرق مهم. فالمهاجمون لا يحتاجون دائما إلى استغلالات غريبة عندما يمكن ترتيب ميزات المنصة العادية بطرق غير اعتيادية. والدرس الأوسع بسيط: إذا لم تُختبر أدوات الأمن ضد أكثر زوايا نظام الملفات غرابة، فقد تصبح تلك الزوايا أكثر أماكن الاختباء هدوءا.

TECHCROOK

قرص SSD خارجي: يفيد محركا محمولا سريعا في الاحتفاظ بنسخ احتياطية غير متصلة وإنشاء نسخ اختبار نظيفة قبل التجربة في هياكل مجلدات غير معتادة أو إعدادات أمنية. إنه أداة بسيطة وعادية للاستعادة والتحقق، وليس حلا لمشكلة الفحص نفسها.

Scheda Techcrook: External SSD

WIKICROOK

  • NTFS: نظام الملفات في ويندوز الذي يدعم ميزات متقدمة مثل الأذونات والروابط ونقاط إعادة التحليل.
  • Junction: رابط دليل في NTFS يعيد توجيه مجلد إلى موقع آخر.
  • نقطة إعادة التحليل: بيانات وصف NTFS التي تخبر ويندوز بمعاملة ملف أو مجلد بطريقة خاصة، مثل الوصلة البرمجية.
  • فحص تكراري: فحص يجتاز مجلدا ومجلداته الفرعية، ويستخدم كثيرا في أدوات الأمن.
  • انفجار المسارات: حالة تنتج فيها بنية واحدة في نظام الملفات عددا متزايدا بسرعة من المسارات التي ينبغي فحصها.
SIGNALMONK
الكاتبSIGNALMONK

البرمجيات الخبيثة والروبوتات