Um pesquisador de segurança divulgou uma ferramenta de prova de conceito chamada GhostLock, que demonstra como uma API legítima do Windows para arquivos pode ser abusada em ataques para bloquear o acesso a arquivos armazenados localmente ou em compartilhamentos de rede SMB.
A técnica, criada por Kim Dvash, da Israel Aerospace Industries, explora a API CreateFileW do Windows e os modos de compartilhamento de arquivos para impedir que outros usuários e aplicativos abram os arquivos enquanto os identificadores permanecem ativos.
O GhostLock abusa do parâmetro dwShareMode, na função CreateFileW(), que define o tipo de acesso que outros processos têm a um arquivo enquanto ele está aberto.
Quando um arquivo é aberto com dwShareMode = 0, o Windows concede acesso exclusivo ao processo, impedindo que outros usuários ou aplicativos o abram.
Por exemplo, o código abaixo abriria o arquivo finance.xlsx em modo exclusivo, bloqueando qualquer outro processo de acessá-lo.
Ao tentar fazer isso, o Windows exibiria o erro STATUS_SHARING_VIOLATION.
O pesquisador publicou no GitHub uma ferramenta GhostLock que automatiza esse ataque ao abrir recursivamente um grande número de arquivos em compartilhamentos SMB.
Enquanto esses identificadores de arquivo permanecem abertos, novas tentativas de acesso aos arquivos falham com violações de compartilhamento.
A ferramenta pode ser executada por usuários de domínio com privilégios padrão e não exige permissões elevadas para bloquear arquivos.
O impacto se agrava se um atacante lançar o ataque a partir de vários dispositivos comprometidos ao mesmo tempo, enquanto readquire continuamente os identificadores de arquivo à medida que processos anteriores são encerrados.
No entanto, quando a sessão SMB associada é encerrada, os processos do GhostLock são finalizados ou o sistema afetado é reiniciado, o Windows fecha automaticamente os identificadores e o acesso aos arquivos é restaurado.
Dvash afirmou que a técnica deve ser vista principalmente como um ataque de interrupção, e não como algo destrutivo, como o ransomware.
"Sim, o impacto é baseado em interrupção, não em destruição.
O paralelo com o ransomware é a janela de indisponibilidade operacional, não a perda de dados", afirmou Dvash.
Embora esse ataque se aproxime mais de uma técnica de negação de serviço, ele pode ser útil como distração durante uma intrusão.
Atacantes poderiam usar interrupções amplas no acesso a arquivos para sobrecarregar as equipes de TI enquanto realizam roubo de dados, movimentação lateral ou outras atividades maliciosas em outras partes do ambiente.
Segundo o pesquisador, muitos produtos de segurança e sistemas de detecção comportamental concentram-se em identificar gravações em massa de arquivos ou operações de criptografia.
O GhostLock, por sua vez, gera principalmente um grande volume de solicitações legítimas de abertura de arquivos, o que dificulta sua detecção.
"O único indicador que identifica esse ataque de forma confiável é a contagem de arquivos abertos por sessão com ShareAccess = 0 na camada do servidor de arquivos.
Essa métrica fica dentro das interfaces de gerenciamento da plataforma de armazenamento, não nos logs do Windows, não na telemetria de EDR e não nos dados de fluxo de rede", explicou Dvash.
O pesquisador compartilhou consultas para SIEM e uma regra de detecção para NDR no whitepaper do GhostLock, que equipes de TI e defensores podem usar como modelo para criar suas próprias detecções.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...