Новая техника атаки блокирует доступ к файлам, не оставляя следов на диске.
Специалист по безопасности показал необычный способ парализовать работу файловых серверов Windows без шифрования данных и вредоносных драйверов. Для атаки достаточно встроенной функции CreateFileW, которой ежедневно пользуются обычные программы вроде Microsoft Word.
Новая техника получила название GhostLock. Её разработал Ким Дваш из Israel Aerospace Industries. Метод использует стандартный механизм Windows, отвечающий за доступ к файлам. Если открыть файл в так называемом эксклюзивном режиме, система запретит доступ всем остальным пользователям и приложениям до закрытия соединения.
Атака работает как с локальными файлами, так и с сетевыми папками SMB. Злоумышленник может запустить GhostLock от имени обычного пользователя домена без повышенных привилегий. Инструмент рекурсивно обходит каталоги и массово открывает файлы в режиме эксклюзивного доступа. После такого захвата любые попытки открыть документы заканчиваются ошибкой STATUS_SHARING_VIOLATION.
По словам автора GhostLock, механизм похож не на программу-вымогатель, а скорее на атаку типа «отказ в обслуживании». Данные не шифруются и не удаляются, однако компания фактически теряет доступ к рабочим файлам. Бизнес-приложения начинают выдавать ошибки, системы управления ресурсами останавливаются, а сотрудники не могут открыть документы.
Мы в MAX. Простите.
Специалист отмечает, что Windows хранит информацию о блокировке только в памяти ядра. Никаких изменений на диске не происходит. После завершения SMB-сессии, перезагрузки системы или остановки процесса доступ к файлам автоматически восстанавливается.
GhostLock особенно опасен в крупных сетях. Инструмент использует 32 потока и способен заблокировать сотни тысяч файлов менее чем за 10 минут. Автор утверждает, что на сети 10 GbE атака на хранилище с 500 тысячами файлов проходит быстрее, чем работают многие программы-вымогатели, но без характерных признаков вроде массовой записи данных или шифрования.
Дополнительную проблему создаёт слабая заметность атаки. Многие системы защиты ищут аномалии вроде массового изменения файлов, переименований или роста энтропии данных. GhostLock лишь отправляет легитимные запросы на открытие файлов. С точки зрения сетевого трафика активность напоминает работу обычного офисного приложения.
Ким Дваш предупреждает, что злоумышленники могут использовать GhostLock как отвлекающий манёвр во время взлома. Пока ИТ-отдел пытается разобраться с недоступными файлами, атакующие могут похищать данные или перемещаться по сети.
Автор проекта опубликовал GhostLock на GitHub вместе с описанием метода, правилами обнаружения для систем анализа трафика и запросами для SIEM-платформ. По словам специалиста, надёжно выявить атаку можно только по большому количеству открытых файлов с режимом ShareAccess = 0 на стороне файлового сервера. Большинство корпоративных систем мониторинга такие данные сейчас не собирают.