GhostLock: nowa technika blokowania dostępu do plików w Windows z użyciem natywnego API - Security Bez Tabu

GhostLock: nowa technika blokowania dostępu do plików w Windows z użyciem natywnego API

Cybersecurity news

Wprowadzenie do problemu / definicja

GhostLock to narzędzie typu proof of concept, które pokazuje, w jaki sposób natywne mechanizmy systemu Windows mogą zostać wykorzystane do czasowego blokowania dostępu do plików lokalnych oraz zasobów udostępnianych przez SMB. Nie jest to klasyczny ransomware ani technika niszczenia danych, lecz metoda zakłócania dostępności oparta na przejmowaniu uchwytów do plików z restrykcyjnymi ustawieniami współdzielenia.

W praktyce efekt dla użytkownika może być bardzo dotkliwy: pliki pozostają nienaruszone, ale ich otwarcie, edycja lub zapis przez inne procesy staje się niemożliwe tak długo, jak długo aktywne są odpowiednio utrzymywane uchwyty.

W skrócie

GhostLock wykorzystuje funkcję CreateFileW oraz parametr odpowiedzialny za współdzielenie dostępu do pliku. Otwierając pliki w trybie wyłącznym, narzędzie uniemożliwia innym aplikacjom i użytkownikom korzystanie z tych samych zasobów.

  • technika nie wymaga szyfrowania danych,
  • może działać bez uprawnień administracyjnych,
  • obejmuje zarówno pliki lokalne, jak i zasoby SMB,
  • może imitować skutki incydentu ransomware poprzez samą niedostępność danych,
  • sprawdza się jako element działań typu denial of service lub zasłona dymna dla innych etapów ataku.

Kontekst / historia

Koncepcja GhostLock została przedstawiona jako demonstracja nadużycia legalnego interfejsu API Windows, a nie jako exploit wykorzystujący błąd w systemie. Sedno problemu polega na tym, że model współdzielenia plików w Windows został zaprojektowany zgodnie z założeniami kontroli dostępu i współbieżności. Jeśli proces otworzy plik z odpowiednio restrykcyjnymi flagami, system będzie egzekwował ten stan aż do zamknięcia uchwytu.

To oznacza, że napastnik nie musi obchodzić zabezpieczeń jądra ani korzystać z podatności. Wystarczy użyć przewidzianego przez system zachowania w sposób masowy, automatyczny i skoordynowany. W środowiskach korporacyjnych, gdzie zespoły intensywnie korzystają ze współdzielonych dokumentów i udziałów sieciowych, taka technika może szybko przełożyć się na realny przestój biznesowy.

Analiza techniczna

Podstawą działania jest funkcja CreateFileW, używana w Windows do otwierania lub tworzenia plików i urządzeń. Kluczową rolę odgrywa parametr określający tryb współdzielenia. Jeśli proces otworzy plik z ustawieniem wyłączającym współdzielenie, system nie pozwoli innym procesom uzyskać kolidującego dostępu do tego samego zasobu.

W praktyce pojedyncze wywołanie API może zablokować dalszy odczyt lub zapis pliku przez inne aplikacje. Gdy operacja zostanie zautomatyzowana i wykonana rekursywnie na dużej liczbie plików, zwłaszcza na udziałach SMB, efekt zaczyna przypominać awarię zasobu albo incydent ransomware, mimo że dane nie zostały zaszyfrowane.

Technika jest szczególnie niepokojąca z kilku powodów. Po pierwsze, wykorzystuje wyłącznie legalne wywołania systemowe. Po drugie, może być uruchamiana z poziomu zwykłego konta użytkownika. Po trzecie, wiele narzędzi bezpieczeństwa koncentruje się na wykrywaniu masowych modyfikacji, zapisów i szyfrowania plików, a nie na anomaliach związanych z samym otwieraniem i utrzymywaniem uchwytów.

Ważna jest także natura samej blokady. Nie jest ona trwała: po zamknięciu procesu, przerwaniu sesji SMB lub restarcie systemu dostęp do plików wraca. Z perspektywy obrońcy nie oznacza to jednak małego ryzyka, ponieważ napastnik może odnawiać blokady w sposób ciągły, również z wielu przejętych hostów jednocześnie.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem GhostLock jest utrata dostępności danych, czyli naruszenie jednego z trzech podstawowych filarów bezpieczeństwa informacji. W organizacji może to oznaczać wstrzymanie pracy działów finansowych, prawnych, operacyjnych lub produkcyjnych, jeśli korzystają one ze wspólnych zasobów plikowych.

Ryzyko nie kończy się jednak na samym przestoju. Tego typu technika może działać jako zasłona dymna, odwracając uwagę administratorów i użytkowników od innych działań przeciwnika. W czasie, gdy zespół IT diagnozuje problemy z dostępnością plików, napastnik może prowadzić rozpoznanie sieci, ruch lateralny, eskalację obecności albo eksfiltrację danych.

Dodatkowym problemem jest niski próg wejścia. Skoro technika nie wymaga uprawnień administracyjnych, może zostać wykorzystana również po przejęciu zwykłego konta domenowego lub po kompromitacji pojedynczej stacji roboczej.

Rekomendacje

Organizacje powinny traktować GhostLock jako scenariusz zakłócenia dostępności oparty na nadużyciu funkcji systemowych, a nie jako klasyczne złośliwe oprogramowanie. Oznacza to potrzebę rozszerzenia monitoringu o zachowania, które wcześniej mogły nie być uznawane za jednoznacznie podejrzane.

  • monitorowanie nietypowo wysokiej liczby otwartych plików w pojedynczej sesji SMB,
  • wykrywanie masowego otwierania plików bez odpowiadających im zapisów lub modyfikacji,
  • analiza długotrwale utrzymywanych uchwytów do dużej liczby plików,
  • korelacja problemów z dostępnością plików z innymi oznakami kompromitacji,
  • segmentacja dostępu do udziałów i ścisłe egzekwowanie zasady najmniejszych uprawnień,
  • separacja krytycznych zbiorów danych od szeroko dostępnych zasobów użytkowników,
  • gotowość do szybkiego identyfikowania i zamykania aktywnych sesji SMB utrzymujących blokady.

W procedurach reagowania warto uwzględnić możliwość izolacji stacji końcowej, zakończenia sesji sieciowej lub odcięcia hosta od segmentu z serwerami plików. Równolegle należy weryfikować, czy blokowanie dostępu do plików nie jest jedynie elementem większego, wieloetapowego incydentu.

Podsumowanie

GhostLock pokazuje, że poważne zakłócenie działania organizacji nie wymaga ani szyfrowania danych, ani wykorzystania klasycznej podatności. Nadużycie legalnego API Windows, połączone z masowym otwieraniem plików w trybie wyłącznym, może skutecznie sparaliżować dostęp do zasobów lokalnych i sieciowych.

Dla zespołów bezpieczeństwa to wyraźny sygnał, że skuteczna ochrona musi obejmować nie tylko wykrywanie destrukcyjnych operacji na plikach, ale także analizę anomalii w sposobie ich otwierania, współdzielenia i utrzymywania uchwytów. W praktyce kluczowe znaczenie będą miały widoczność na poziomie serwerów plików, szybka korelacja zdarzeń oraz dojrzałe procedury reagowania.

Źródła

  1. BleepingComputer – New GhostLock tool abuses Windows API to block file access
    https://www.bleepingcomputer.com/news/security/new-ghostlock-tool-abuses-windows-api-to-block-file-access/
  2. Microsoft Learn – CreateFileW function (fileapi.h)
    https://learn.microsoft.com/en-us/windows/win32/api/fileapi/nf-fileapi-createfilew
  3. GhostLock – oficjalna strona projektu
    https://ghostlock.io/
  4. GitHub – GhostLock repository
    https://github.com/0x6d696368/GhostLock
  5. Zenodo – GhostLock whitepaper
    https://zenodo.org/records/15384784