Ekipet e sigurisë kanë zbuluar një mënyrë të re për të maskuar skedarë keqbërës në Windows, duke shfrytëzuar karakteristikat e “junction”‑eve dhe “symbolic link”‑eve të sistemit NTFS. Këto objekte lejojnë një dosje të tregojë drejt një tjetër, dhe mund të krijohen nga çdo përdorues me leje shkrimi, pa nevojë për privilegje administrative. Duke vendosur një junction që tregon drejt dosjes prind, sulmuesi krijon një cikël rekursiv që prodhon rrugë pothuajse të pafundme.
Kur një mjet skanues, siç janë komandat “dir /s” apo produktet EDR, përpiqet të kalojë nëpër strukturën e dosjeve, ai ndjek ciklin dhe nuk përfundon kurrë. Skedarët keqbërës të vendosur në dosjen bazë mbeten të pakontrolluar, duke krijuar një teknikë që autorët e kanë emëruar “GhostTree”. Nëse përdoret një variant më i thjeshtë, “GhostBranch”, krijohet vetëm një lidhje që kthehet në prind; “GhostTree” shton dy ose më shumë degë në çdo nivel, duke rritur ndjeshëm numrin e rrugëve të mundshme.
Kufiri tradicional i Windows për gjatësinë e rrugës është 260 karaktere, edhe pse mund të zgjatet deri në 32 767 përmes një çelësi regjistri. Kjo kufizim përcakton se sa thellë mund të shkojnë ciklet rekursive dhe sa rrugë unike mund të prodhohen. Me një strukturë binare ku çdo nivel mund të jetë “P” ose “B”, numri i rrugëve arrin në shkallë që tejkalon numrin e grimcave të rërës në Tokë, duke e bërë të pamundur për skanuesit të përfundojnë kontrollin.
Metoda GhostTree lejon një sulmues të vendosë malware në dosjen prind, të krijojë strukturën e ciklit dhe të bëjë që skanuesit e sigurisë të “hangojnë”. Kjo e bën skanimin e dosjeve në mënyrë rekursive praktikisht të papërfundueshëm, duke i dhënë sulmuesit mundësinë të fshehë kodin keqbërës pa u zbuluar. Disa platforma të sigurisë, siç pret Varonis, pretendojnë se ofrojnë monitorim të vazhdueshëm dhe zbulim të këtyre kërcënimeve, por efektiviteti i tyre ndaj GhostTree mbetet për t’u provuar në praktikë.