セキュリティ研究者が、データ暗号化や悪意のあるドライバーを使用せずにWindows ファイルサーバーを麻痺させるという非従来的な方法を実証しました。このエクスプロイトはネイティブの CreateFileW 関数のみに依存しており、これは Microsoft Word などのユビキタスなアプリケーションによって毎日使用される基本的なユーティリティです。
GhostLock という名で呼ばれるこの初期段階の技術は、イスラエル航空宇宙産業の Kim Dvash によって開拓されました。この方法論はファイルアクセスを統治する標準的な Windows メカニズムを悪用しており、いわゆる排他的モードでファイルを開くことで、オペレーティングシステムは接続が切断されるまで他のすべてのユーザーとアプリケーションへのアクセスを全面的に禁止します。
この攻撃はローカルファイルシステムと SMB ネットワークシェアの両方に対して有効です。攻撃者は昇格された権限を持たない通常のドメインユーザーを装って GhostLock を実行できます。このツールはディレクトリを再帰的にトラバースし、ファイルを排他的アクセスモードで体系的に開きます。これらのアセットが押さえられると、その後のドキュメントへのアクセス試行は STATUS_SHARING_VIOLATION エラーで失敗します。
GhostLock の設計者によると、このメカニズムは従来のランサムウェアのように機能するのではなく、むしろ Denial-of-Service(DoS)攻撃のように機能します。データは暗号化されておらず完全な状態のままですが、エンタープライズは実質的に運用ファイルに対する支配を失います。ビジネスアプリケーションが失敗し、リソース管理システムは停止し、従業員は重要なドキュメントにアクセスできなくなります。
研究者は Windows がロック情報をカーネルメモリ内に専ら保持しており、物理ディスクは変更されていないことに注目しています。SMB セッションの終了、システムの再起動、またはプロセスの停止時に、ファイルへのアクセスは自動的に復元されます。
GhostLock は大規模なネットワークに対して特に深刻な脅威をもたらします。32 個の並行スレッドを使用すると、このツールは 10 分未満で数十万のファイルを隔離できます。その作成者は、10 GbE ネットワーク上で 500,000 ファイルを含むリポジトリへの攻撃は、多くのランサムウェア株よりも迅速に完了しながらも、大量のデータ修正や暗号化の顕著な兆候がないと主張しています。
さらなる複雑さはこの攻撃の固有のステルス性から生じます。ほとんどの防御システムは大量のファイル名変更やデータエントロピーの急増などの異常を検出するように校正されていますが、GhostLock は正当なファイルオープンリクエストを発行するだけです。ネットワークトラフィックの観点からは、このアクティビティは標準的なオフィスソフトウェアの無害な操作を反映しています。
Kim Dvash は、悪意のある行為者が侵害中に GhostLock を陽動戦術として使用する可能性があると警告しています。IT 部門がファイル利用不可の解決に没頭している間に、攻撃者はデータを窃取したりネットワークを横方向に移動したりする可能性があります。
プロジェクトの著者は GhostLock をGitHubで公開しており、詳細な方法論、トラフィック分析検出ルール、および SIEM クエリが付属しています。この専門家は、このような攻撃を識別する唯一の信頼できる方法はファイルサーバーで ShareAccess = 0 で開かれた過度な数のファイルを監視することであると主張しており、これは現在ほとんどの企業監視システムが収集を怠っているメトリックです。
