GhostLock: нова техника блокира достъпа до файлове

Picture of Здравко Боджов
Здравко Боджов
Зловреден код

Изследовател демонстрира как стандартни Windows механизми могат да бъдат използвани за disruption атаки

Специалист по сигурността от Israel Aerospace Industries – Ким Дваш – публикува proof-of-concept инструмент с име GhostLock, който показва как легитимна Windows API функция може да бъде използвана за блокиране на достъпа до файлове както локално, така и през SMB мрежови споделяния.

Техниката не унищожава файловете и не ги криптира, но може да предизвика сериозно оперативно прекъсване, подобно на ефекта при ransomware атаки.

Как работи GhostLock

GhostLock злоупотребява с Windows API функцията CreateFileW() и по-конкретно с параметъра dwShareMode, който определя какъв достъп ще имат други процеси до даден файл, докато той е отворен.

Когато файл бъде отворен с:

dwShareMode = 0

Windows предоставя изключителен достъп до файла само на текущия процес. Всички останали приложения или потребители получават грешка при опит за достъп.

Примерният код изглежда така:

HANDLE hFile = CreateFileW(
    L"\\\\server\\share\\finance.xlsx",
    GENERIC_READ,
    0,
    NULL,
    OPEN_EXISTING,
    FILE_ATTRIBUTE_NORMAL,
    NULL
);

В този случай файлът finance.xlsx се заключва ексклузивно и всякакви други опити за достъп водят до грешка STATUS_SHARING_VIOLATION.

Атаката не изисква администраторски права

Една от най-притеснителните характеристики на GhostLock е, че инструментът може да бъде използван от обикновени domain потребители без административни привилегии.

Публикуваният PoC автоматизира процеса чрез:

  • рекурсивно отваряне на голям брой файлове;
  • заключване на файлове в SMB shares;
  • постоянно повторно придобиване на file handles;
  • паралелно изпълнение от множество компрометирани устройства.

Така атакуващите могат да създадат масови откази на достъп до корпоративни файлови ресурси без да променят или криптират самите данни.

По-скоро DoS, отколкото ransomware

Самият изследовател подчертава, че GhostLock трябва да се разглежда основно като disruption или denial-of-service техника, а не като разрушителна ransomware операция.

След прекратяване на SMB сесията, спиране на процесите или рестартиране на системата, Windows автоматично освобождава file handle-ите и достъпът до файловете се възстановява.

Въпреки това реалният риск идва от оперативното въздействие:

  • невъзможност за работа с критични файлове;
  • блокиране на споделени ресурси;
  • прекъсване на бизнес процеси;
  • затруднения за IT екипите при диагностика.

Потенциален инструмент за прикритие при intrusion операции

Според анализа подобна техника може да бъде особено полезна като отвличаща вниманието операция по време на по-мащабна компрометация.

Докато IT екипите реагират на масовите „sharing violation“ грешки и проблеми с достъпа до файлове, атакуващите могат паралелно да извършват:

  • lateral movement;
  • кражба на данни;
  • credential harvesting;
  • persistence операции;
  • внедряване на допълнителен malware.

Това превръща GhostLock в интересен инструмент за комбинирани intrusion кампании.

Защо откриването е трудно

GhostLock използва напълно легитимни Windows операции, което значително усложнява засичането.

Повечето EDR и behavioral detection решения следят за:

  • масово криптиране;
  • необичайни file write операции;
  • ransomware поведение;
  • destructive activity.

При GhostLock обаче основната активност представлява голям брой валидни file open заявки.

Според Дваш единственият надежден индикатор е:

  • висок брой отворени файлове с ShareAccess = 0;
  • наблюдение на file server layer;
  • storage management telemetry.

Проблемът е, че тези данни често не присъстват в:

  • Windows event логовете;
  • стандартната EDR телеметрия;
  • network flow мониторинга.

Публикувани са SIEM и NDR правила за засичане

Изследователят е публикувал GitHub инструмент, технически whitepaper и примерни правила за засичане, включително:

  • SIEM заявки;
  • NDR detection правила;
  • методики за мониторинг на SMB file handle activity.

Това дава възможност на организациите да изградят ранни механизми за откриване на подобни атаки.

Нов пример за „living off the land“ техники

GhostLock е пореден пример за т.нар. Living-off-the-Land подход – използване на напълно легитимни системни функции за злонамерени цели.

Тенденцията е особено опасна, защото:

  • не изисква exploit;
  • не използва malware в класическия смисъл;
  • не оставя типични IOC следи;
  • работи с вградени Windows механизми.

С нарастващия интерес към stealth и low-noise intrusion техники, подобни методи вероятно ще стават все по-често срещани в реални корпоративни атаки.

#CreateFileW, # GhostLock, # SMB, # Windows API, # киберсигурност
e-security.bg

Подобни

Китайска APT група е шпионирала Microsoft 365 среди повече от 18 месеца
8.06.2026
china_TY_Lim_shutterstock
IronWorm: нова supply-chain атака в npm
5.06.2026
npm
HTTP/2 Bomb: DoS атака може да срине сървъри за секунди
5.06.2026
cyber-security-3480163_960_720
Китайска ATP атаките си към ЕС с нов зловреден софтуер и Atlas RAT
4.06.2026
china
ИИ ускорява разработката на рансъмуер
4.06.2026
ransomware-Zoonar_GmbH-alamy
DriveSurge компрометира хиляди сайтове чрез ClickFix и FakeUpdates
3.06.2026
geralt-digitization-5194814_640

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy