Im Zentrum der von Varonis beschriebenen Methode stehen NTFS-Junctions und symbolische Links. Solche Verweise erlauben es unter Windows, ein Verzeichnis auf ein anderes umzuleiten, sodass Anwendungen den Inhalt so sehen, als läge er lokal vor. Diese Funktion dient legitimen Zwecken wie Abwärtskompatibilität oder der Umorganisation von Dateien, hat aus Sicht von Angreifern aber einen entscheidenden Vorteil: Laut Varonis kann jeder Nutzer mit Schreibrechten solche Junctions anlegen, ohne besondere Berechtigungen oder Administratorrechte zu benötigen.

Die einfachere Variante nennt Varonis „GhostBranch“. Dabei zeigt ein untergeordnetes Verzeichnis per Junction auf sein eigenes Elternverzeichnis zurück. So entsteht eine logische Schleife: Der Kindordner enthält aus Sicht des Systems alles, was im Elternordner liegt – einschließlich seiner selbst. Dadurch bleiben beliebig viele Pfadvarianten zu derselben Datei gültig.

„GhostTree“ erweitert dieses Prinzip um mehrere Kindordner, die jeweils auf das Elternverzeichnis zurückzeigen. Im Beispiel von Varonis sind das zwei Verzeichnisse, „P“ und „B“. Auf jeder Ebene kann der Pfad dann über „P“ oder „B“ weiterlaufen, obwohl beide wieder zum selben Ausgangspunkt zurückführen. Das ergibt eine baumartige Struktur mit einer großen Zahl unterschiedlicher, aber gültiger Pfade zur selben Datei.

Begrenzt wird das Verfahren durch die klassische Windows-Pfadlänge von 260 Zeichen. Zwar lässt sich diese Grenze per Registrierungseintrag technisch auf 32.767 Zeichen erweitern, doch laut Varonis sind viele Anwendungen und Werkzeuge nicht darauf ausgelegt, mit Pfaden jenseits von 260 Zeichen umzugehen. Um möglichst viele Verzeichnisebenen unter dieser Grenze unterzubringen, lassen sich Ein-Buchstaben-Ordner und ein kurzer Dateiname wie „1.exe“ verwenden. Bei einer einfachen Struktur ergibt das laut Varonis etwa 126 unterschiedliche Verzeichnisstrukturen.

Mit GhostTree steigt die Zahl der möglichen Pfade jedoch drastisch, weil jede Ebene zwei Namensvarianten haben kann. Die maximale Tiefe bleibe zwar bei rund 126 Ordnern, doch jeder Knoten repräsentiere einen eigenen Pfad. Varonis beschreibt die Zahl der möglichen Knoten als so groß, dass sie weit über 8,5 × 10^18 Sandkörnern auf der Erde und sogar über 10^27 Atomen im menschlichen Körper liege.

Der sicherheitsrelevante Effekt: Werkzeuge, die ein Verzeichnis rekursiv durchsuchen, können in diesen Schleifen hängenbleiben. Varonis schreibt, dass dies nicht nur für den rekursiven Aufruf von „dir“ gilt, sondern auch für EDR-Produkte, die Ordner nach schädlichen Dateien durchsuchen. Ein Angreifer platziere die Malware im Elternverzeichnis, richte die GhostTree-Struktur ein und mache den betroffenen Ordner damit faktisch unscannbar; der Scan hänge, die schädlichen Dateien blieben ungeprüft.

Nach eigenen Angaben testete Varonis die Technik gegen Windows Defender und bestätigte, dass sich damit Ordnerscans umgehen lassen. Das Unternehmen meldete den Sachverhalt an Microsoft. Microsoft habe das Ticket mit der Begründung geschlossen, dass das Umgehen von Defender keine Sicherheitsgrenze überschreite. Varonis zufolge wurde das Problem anschließend dennoch gepatcht.