Een beveiligingsonderzoeker heeft een proof-of-concept tool genaamd GhostLock uitgebracht. Deze tool laat zien hoe een legitieme Windows-bestands-API kan worden misbruikt om toegang tot lokaal of op SMB-netwerk gedeelde bestanden te blokkeren.

Deze techniek, ontwikkeld door Kim Dvash van Israel Aerospace Industries, misbruikt de Windows ‘CreateFileW’ API en bestanddelingsmethodes. Hierdoor kunnen andere gebruikers en applicaties geen bestanden openen zolang de bestandskoppelingen actief zijn.

GhostLock maakt gebruik van de ‘dwShareMode’ parameter in de CreateFileW()-functie. Deze parameter bepaalt het type toegang dat andere processen tot een bestand hebben terwijl het geopend is.

Bij het instellen van dwShareMode = 0, krijgt een proces exclusieve toegang tot het bestand, waardoor anderen het niet kunnen openen.

Bijvoorbeeld, met de volgende code wordt finance.xlsx exclusief geopend, zodat andere processen geen toegang hebben.

c
HANDLE hFile = CreateFileW(
L"\serversharefinance.xlsx",
GENERIC_READ,
0,
NULL,
OPEN_EXISTING,
FILE_ATTRIBUTE_NORMAL,
NULL
);

Wanneer iemand toch probeert het bestand te openen, geeft Windows de ‘STATUS_SHARING_VIOLATION’ foutmelding.

De onderzoeker heeft de GhostLock-tool op GitHub gezet, die automatisch deze aanval uitvoert door veel bestanden op SMB-shares te openen. Zolang deze koppelvlakken open zijn, zullen nieuwe toegangspogingen mislukken.

De tool kan worden uitgevoerd door "standaard" domeingebruikers, zonder verhoogde rechten nodig te hebben.

Als een aanvaller de aanval tegelijkertijd vanaf meerdere gecompromitteerde apparaten uitvoert en constant bestandskoppelingen heropenen, wordt het effect versterkt.

Wanneer de bijbehorende SMB-sessie wordt beëindigd, de GhostLock-processen worden beëindigd of het systeem opnieuw wordt opgestart, sluit Windows automatisch de koppelvlakken en wordt de toegang hersteld.

Dvash legde aan BleepingComputer uit dat deze techniek moet worden gezien als een verstoringsaanval en niet als destructief, zoals ransomware.

"Ja, de impact is verstoringsgericht, niet destructief. De vergelijking met ransomware is de operationele downtime, niet het verlies van gegevens," aldus Dvash.

Hoewel deze aanval meer lijkt op een denial-of-service techniek, kan het nuttig zijn als afleidingsmanoeuvre tijdens inbraken, waardoor IT-medewerkers worden afgeleid terwijl er elders gegevens worden gestolen of andere kwaadaardige activiteiten worden uitgevoerd.

Volgens de onderzoeker richten veel beveiligingsproducten en detectiesystemen zich op massale bestandsschrijvingen of versleutelingsoperaties. GhostLock genereert vooral veel legitieme bestandsopeningsverzoeken, wat de detectie bemoeilijkt.

"Het enige dat deze aanval betrouwbaar identificeert, is het per-sessie open-bestandsaantal met ShareAccess = 0 op de bestandsserverlaag — een meetwaarde die leeft binnen opslagplatformbeheersinterfaces, niet in Windows-gebeurtenislogboeken, EDR-telemetrie, of netwerkstroomgegevens," legt Dvash uit.

De onderzoeker heeft SIEM-query’s en een NDR-detectieregel gedeeld in de GhostLock whitepaper, die IT-teams en verdedigers als sjabloon voor detecties kunnen gebruiken.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.