Новый инструмент GhostLock использует Windows API для блокировки доступа к файлам

Исследователь безопасности опубликовал инструмент под названием GhostLock, который демонстрирует, как легитимный файловый API Windows может использоваться в атаках для блокировки доступа к локальным файлам и файлам на SMB-сетевых ресурсах.

Данная техника была создана Кимом Двашем (Kim Dvash) из концерна «Авиационная промышленность Израиля» (Israel Aerospace Industries). Она использует Windows API CreateFileW вместе с режимами совместного доступа к файлам, чтобы не позволять другим пользователям и приложениям открывать файлы, пока дескрипторы остаются активными.

Метод GhostLock использует параметр dwShareMode функции CreateFileW(), который определяет, какой тип доступа к файлу будет разрешен другим процессам, пока файл открыт. Если файл открывается с параметром dwShareMode = 0, Windows предоставляет процессу эксклюзивный доступ к файлу, запрещая другим пользователям и приложениям открывать его.

Например, следующий код открывает файл finance.xlsx в эксклюзивном режиме, полностью блокируя доступ к нему для других процессов:

HANDLE hFile = CreateFileW(

    L"\\server\share\finance.xlsx",

    GENERIC_READ,

    0,

    NULL,

    OPEN_EXISTING,

    FILE_ATTRIBUTE_NORMAL,

    NULL

);

При попытке доступа к такому файлу Windows будет отображать ошибку STATUS_SHARING_VIOLATION.

Что видят пользователи при блокировке файлов инструментом GhostLock.

Исследователь опубликовал инструмент GhostLock на GitHub, который автоматизирует подобную атаку, рекурсивно открывая большое количество файлов на SMB-ресурсах. Пока дескрипторы этих файлов остаются открытыми, любые новые попытки доступа к ним завершаются ошибками совместного доступа. Инструмент может запускаться обычными доменными пользователями и не требует повышенных привилегий для блокировки файлов.

Ситуация усложняется, если злоумышленник запускает атаку одновременно с нескольких скомпрометированных устройств, при этом постоянно повторно захватывая файловые дескрипторы после завершения предыдущих процессов.

Однако после завершения SMB-сессии, остановки процессов GhostLock или перезагрузки затронутой системы Windows автоматически закрывает дескрипторы, и доступ к файлам восстанавливается.

Дваш сообщает, что эту технику следует рассматривать прежде всего как атаку, направленную на нарушение работы систем, а не как разрушительную атаку наподобие программ-вымогателей:

Да, воздействие носит характер нарушения работы, а не уничтожения данных. Сходство с шифровальщиками заключается в периоде простоя инфраструктуры, а не в потере данных.

Хотя эта атака больше напоминает технику отказа в обслуживании (DoS), она может использоваться как отвлекающий маневр во время взломов.

Злоумышленники могут создавать массовые проблемы с доступом к файлам, перегружая ИТ-специалистов, пока параллельно выполняются кража данных, горизонтальное перемещение по сети или другие вредоносные действия в инфраструктуре.

По словам исследователя, многие средства защиты и системы поведенческого анализа ориентированы на выявление массовой записи файлов или операций шифрования. GhostLock же в основном генерирует большое количество легитимных запросов на открытие файлов, из-за чего вероятность обнаружения значительно ниже.

Дваш пояснил:

Единственный надежный индикатор этой атаки — количество открытых файлов в рамках одной сессии с параметром ShareAccess = 0 на уровне файлового сервера. Этот показатель доступен внутри интерфейсов управления системами хранения данных, а не в журналах событий Windows, не в телеметрии EDR и не в сетевых потоках данных.

Исследователь также опубликовал SIEM-запросы и правило обнаружения для NDR-систем в техническом документе проекта GhostLock, которые ИТ-специалисты и специалисты по безопасности могут использовать как основу для создания собственных механизмов обнаружения.