GhostLock: Proof-of-Concept missbraucht Windows-API zum Sperren von Dateien

Zusammenfassung

Ein Sicherheitsforscher hat mit GhostLock ein Proof-of-Concept-Werkzeug veröffentlicht, das zeigt, wie sich eine legitime Windows-Datei-API für Angriffe zweckentfremden lässt, um den Zugriff auf lokal oder auf SMB-Netzwerkfreigaben gespeicherte Dateien zu sperren. Die Technik stammt von Kim Dvash von Israel Aerospace Industries und setzt an der Windows-API CreateFileW sowie an den Freigabemodi für Dateien an: Solange offene Datei-Handles bestehen, können andere Nutzer und Anwendungen die betroffenen Dateien nicht mehr öffnen. Bemerkenswert ist, dass der Angriff von gewöhnlichen Domänenbenutzern ausgeführt werden kann und keine erhöhten Rechte erfordert. Laut Dvash handelt es sich primär um einen Störungs- und nicht um einen zerstörerischen Angriff wie etwa Ransomware. Die Parallele zu Ransomware liege allein im Zeitfenster des Betriebsausfalls, nicht im Datenverlust. Brisant ist die Technik vor allem deshalb, weil sie für viele Sicherheitsprodukte schwer zu erkennen ist: GhostLock erzeugt überwiegend legitime Anfragen zum Öffnen von Dateien und löst damit nicht die üblichen Alarme aus, die auf massenhafte Schreib- oder Verschlüsselungsvorgänge ausgelegt sind.

Im Kern missbraucht GhostLock den Parameter „dwShareMode" der Funktion CreateFileW(). Dieser legt fest, welchen Zugriff andere Prozesse auf eine geöffnete Datei haben. Wird eine Datei mit „dwShareMode = 0" geöffnet, gewährt Windows dem Prozess exklusiven Zugriff und verhindert, dass andere Nutzer oder Anwendungen dieselbe Datei öffnen. Versucht es ein anderer Prozess dennoch, antwortet Windows mit dem Fehler „STATUS_SHARING_VIOLATION".

Das von Dvash auf GitHub veröffentlichte Tool automatisiert diesen Vorgang, indem es rekursiv eine große Zahl von Dateien auf SMB-Freigaben öffnet. Solange die Handles aktiv bleiben, scheitern neue Zugriffsversuche an Freigabeverletzungen. Der Angriff funktioniert ohne erhöhte Rechte und lässt sich von gewöhnlichen Domänenbenutzern starten. Verschärft wird die Wirkung, wenn ein Angreifer den Angriff gleichzeitig von mehreren kompromittierten Geräten aus führt und die Datei-Handles fortlaufend neu beansprucht, sobald vorherige Prozesse beendet werden.

Die Sperre ist allerdings nicht von Dauer: Sobald die zugehörige SMB-Sitzung beendet wird, die GhostLock-Prozesse beendet werden oder das betroffene System neu startet, schließt Windows die Handles automatisch, und der Zugriff auf die Dateien wird wiederhergestellt.

Gegenüber BleepingComputer ordnete Dvash die Technik als Störungsangriff ein. Sie ähnele eher einem Denial-of-Service, könne aber als Ablenkung während eines Einbruchs dienen: Angreifer könnten mit weitläufigen Zugriffsstörungen das IT-Personal binden, während sie an anderer Stelle Daten stehlen, sich seitlich im Netzwerk bewegen oder weitere schädliche Aktivitäten ausführen.

Schwer erkennbar ist GhostLock, weil viele Sicherheitsprodukte und verhaltensbasierte Erkennungssysteme auf massenhafte Schreibvorgänge oder Verschlüsselungsoperationen ausgerichtet sind. GhostLock erzeugt dagegen überwiegend legitime Anfragen zum Öffnen von Dateien. Laut Dvash ist das einzige zuverlässige Erkennungsmerkmal die Zahl der pro Sitzung geöffneten Dateien mit „ShareAccess = 0" auf Ebene des Dateiservers – ein Wert, der in den Verwaltungsoberflächen von Speicherplattformen liegt und sich weder in den Windows-Ereignisprotokollen noch in EDR-Telemetrie oder Netzwerkflussdaten findet.

Für Verteidiger hat der Forscher im GhostLock-Whitepaper SIEM-Abfragen und eine NDR-Erkennungsregel bereitgestellt, die IT-Teams als Vorlage für eigene Erkennungen nutzen können.

GhostLock: Proof-of-Concept missbraucht Windows-API zum Sperren von Dateien

Ähnliche Artikel

Neueste Artikel