Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
GhostLock to narzędzie typu proof of concept, które pokazuje, jak legalne mechanizmy systemu Windows mogą zostać użyte do blokowania dostępu do plików bez ich szyfrowania, usuwania czy modyfikacji. W przeciwieństwie do klasycznego ransomware technika ta nie niszczy danych, lecz uniemożliwia ich użycie poprzez utrzymywanie wyłącznych uchwytów do plików.
To podejście zmienia sposób myślenia o zagrożeniach dla dostępności danych. Atakujący nie musi wdrażać zaawansowanego malware ani wykorzystywać luki bezpieczeństwa — wystarczy poprawne, ale ofensyjne użycie natywnego API Windows.
W skrócie
GhostLock wykorzystuje funkcję CreateFileW i parametr dwShareMode, aby otwierać pliki w trybie wyłącznym. Gdy uchwyt zostanie utrzymany, inne procesy i użytkownicy nie mogą uzyskać dostępu do tych samych zasobów.
- atak nie wymaga uprawnień administracyjnych,
- może zostać uruchomiony z poziomu zwykłego konta domenowego,
- szczególnie groźny jest dla udziałów SMB,
- działa jak forma zakłócenia operacyjnego lub denial-of-service na poziomie dostępu do plików.
Kontekst / historia
Technika została opisana jako praktyczna demonstracja nadużycia udokumentowanego zachowania systemu Windows. To istotne, ponieważ nie mamy tu do czynienia z klasycznym exploitem, lecz z użyciem funkcji zgodnie z jej specyfikacją, ale w celu osiągnięcia efektu ofensywnego.
Z perspektywy obrony jest to ważny sygnał ostrzegawczy. Wiele organizacji buduje detekcję wokół wzorców charakterystycznych dla ransomware, takich jak masowe szyfrowanie, nadpisywanie danych lub szybkie modyfikacje wielu plików. GhostLock omija te schematy i może pozostać mniej widoczny, bo generuje pozornie legalne operacje otwierania plików.
Tego typu technika może też działać jako zasłona dymna. W czasie gdy zespoły IT próbują zrozumieć, dlaczego użytkownicy tracą dostęp do dokumentów i zasobów sieciowych, intruz może prowadzić inne działania w środowisku, w tym ruch lateralny lub eksfiltrację danych.
Analiza techniczna
Sercem GhostLock jest funkcja CreateFileW, która pozwala otwierać pliki z określonym poziomem dostępu i zasadami współdzielenia. Kluczowy jest parametr dwShareMode, określający, czy inne procesy mogą równocześnie czytać, zapisywać lub usuwać plik.
Jeżeli plik zostanie otwarty z ustawieniem dwShareMode = 0, system przyznaje dostęp wyłączny. W praktyce oznacza to, że kolejne próby otwarcia tego samego pliku przez inne procesy zakończą się błędem współdzielenia. Sam mechanizm jest w pełni legalny i stanowi część standardowej logiki kontroli dostępu do plików w Windows.
GhostLock skaluje ten proces. Narzędzie może rekurencyjnie otwierać dużą liczbę plików na lokalnych zasobach lub udziałach SMB i utrzymywać uchwyty tak długo, jak to możliwe. W takim stanie użytkownicy, aplikacje i procesy biznesowe tracą możliwość pracy na zablokowanych danych.
W środowiskach wielohostowych skutki mogą być większe. Jeśli technika zostanie uruchomiona równolegle z kilku przejętych stacji roboczych, blokady mogą być odtwarzane i podtrzymywane przez dłuższy czas. To zwiększa presję operacyjną na organizację, mimo że nie dochodzi do szyfrowania ani kasowania danych.
Z technicznego punktu widzenia jest to atak niskosygnałowy. Nie powoduje klasycznych objawów aktywności ransomware, dlatego rozwiązania EDR i analityka behawioralna nastawiona na modyfikacje plików mogą nie nadać incydentowi odpowiedniego priorytetu. Cennym wskaźnikiem może być natomiast nietypowo wysoka liczba otwartych plików z wyłącznym dostępem widoczna po stronie serwera plików lub warstwy storage.
Warto podkreślić, że blokada ma charakter tymczasowy. Po zakończeniu procesu, zerwaniu sesji SMB lub restarcie systemu uchwyty są zamykane, a dostęp do danych wraca. Dlatego GhostLock należy traktować przede wszystkim jako narzędzie zakłócające, a nie mechanizm trwałego niszczenia informacji.
Konsekwencje / ryzyko
Najbardziej oczywistym skutkiem użycia GhostLock jest niedostępność plików biznesowych. W organizacjach opartych na udziałach sieciowych nawet krótkotrwała blokada może zatrzymać pracę działów finansowych, operacyjnych, projektowych czy administracyjnych.
Ryzyko wykracza jednak poza prosty przestój. Tego rodzaju technika może być elementem większego łańcucha ataku, w którym zakłócenie dostępności danych odciąga uwagę zespołu bezpieczeństwa od rzeczywistego celu przeciwnika.
- utrudnienie codziennej pracy użytkowników i aplikacji,
- przestoje procesów biznesowych opartych na współdzielonych plikach,
- maskowanie ruchu lateralnego, eskalacji uprawnień lub kradzieży danych,
- zwiększone ryzyko nadużyć wewnętrznych lub wykorzystania przejętych kont,
- problemy z szybkim rozróżnieniem incydentu zakłóceniowego od pełnej kompromitacji środowiska.
Dodatkowym problemem jest niski próg wejścia. Skoro technika nie wymaga uprawnień administracyjnych, potencjalnie może zostać użyta przez każde konto mające dostęp do odpowiednich udziałów i plików.
Rekomendacje
Obrona przed GhostLock wymaga rozszerzenia modelu monitorowania. Organizacje powinny analizować nie tylko operacje modyfikacji plików, ale również wzorce ich otwierania i współdzielenia, zwłaszcza w środowiskach SMB.
- monitorować liczbę otwartych plików przypadających na jedną sesję SMB,
- wykrywać nietypowo wysokie użycie wyłącznych uchwytów do plików,
- budować alerty dla kont, które w krótkim czasie otwierają masowo pliki na udziałach sieciowych,
- korelować blokady plików z innymi oznakami incydentu, takimi jak nietypowe logowania czy wzrost transferu danych,
- stosować zasadę najmniejszych uprawnień w dostępie do udziałów i katalogów,
- segmentować zasoby plikowe, by ograniczyć zasięg pojedynczego konta,
- przygotować procedury szybkiego zrywania sesji SMB i izolowania hostów generujących blokady,
- włączyć telemetrię z serwerów plików i macierzy do SIEM,
- testować scenariusze zakłóceniowe w ramach ćwiczeń purple team i reagowania na incydenty.
W praktyce kluczowe jest szybkie ustalenie, który host i które konto utrzymują blokujące uchwyty. Po identyfikacji źródła organizacja może przerwać sesję, odizolować stację i sprawdzić, czy blokada była samodzielnym incydentem, czy częścią szerszej operacji.
Podsumowanie
GhostLock pokazuje, że skuteczny atak na dostępność danych nie zawsze wymaga szyfrowania, exploita ani zaawansowanego malware. Wystarczy dobrze znany, udokumentowany mechanizm systemowy użyty w niewłaściwym celu.
Dla zespołów bezpieczeństwa to wyraźny sygnał, że nowoczesna detekcja musi obejmować także nadużycia legalnych funkcji systemowych. W przeciwnym razie organizacje mogą przeoczyć incydenty, które nie niszczą danych, ale realnie paraliżują działalność operacyjną i ułatwiają kolejne etapy ataku.