GhostLock-Attacke nutzt Windows-Dateifreigabe, um Dateien wie Ransomware zu sperren

Verhaltensbasierte KI-Ransomware-Engines erzeugten keine Alarme – das Lese-Öffnungsprofil einem Suchindexierer oder einem Backup-Vorscan-Agenten zu unterscheiden.

Kommerzielle EDR-Agenten erzeugten keine Alarme – das Systemaufrufprofil spiegelt das Öffnen wider.

NDR/Tiefenpaketinspektion erzeugten keine Alarme – der SMB2-Verkehr zeigte lediglich CREATE- und CLOSE-Anfragen, identisch mit normalem Dokumentzugriff.

SIEM-Korrelationsregeln erzeugten keine Alarme – kein

SIEM-Korrelationsregeln erzeugten keine Alarme – kein bestehender Regelwerk überwacht die pro Sitzung kumulierte Anzahl exklusiver Handles. Das einzige verlässliche Detektionssignal befindet sich innerhalb der NAS-Verwaltungsschicht selbst: die pro Sitzung gezählte Anzahl gleichzeitig gehaltenen exklusiven Handles.

Der Bericht stellt fest, dass eine legitime Single-User-Anwendung in der Regel nicht mehr als ein paar Dutzend exklusiver Handles gleichzeitig hält, während GhostLock Zehntausende ansammelt; dieser Metrik wird jedoch Studie untersuchten Enterprise-SIEM-Systeme erfasst.

Selbst nach der Erkennung ist die Wiederherstellung nicht einfach: Das Beenden der betroffenen SMB-Sitzung erfordert Expertise im Bereich der Storage-Administration, und in den meisten großen Unternehmen arbeiten das Storage-Operations-Team und das Security-Operations-Team unabhängig voneinander, ohne vordefinierte gemeinsame Runbooks.

In Tabletop-Übungen ohne ein vorab erstelltes

In Tabletop-Übungen ohne ein vorab erstelltes Runbook betrug die geschätzte mittlere Wiederherstellungszeit 4 bis. Bemerkenswerterweise bleiben, wenn die Active-Directory-Credentials des Angreifers widerrufen werden, die bestehende authentizierte SMB-Sitzung und alle ihre Sperren weitere 15 bis bestehen, abhängig, bevor die Sitzungstimeout eintritt.

Dvash fordert NAS-Anbieter auf, als Standard-Sicherheitstelemetrie die Anzahl pro Sitzung exklusiver Handles neben den bestehenden Syslog-Ausgaben offenzulegen und SIEM-Anbieter zu drängen, Speicherplattform-Integrationen zu entwickeln, die diese Daten aufnehmen.

Für sofortige defensive Maßnahmen empfiehlt die Studie, Alarme auszulösen, sobald eine einzelne SMB-Sitzung mehr als 500 exklusive Handles ansammelt, eine NDR-Regel für Massenvorgänge innerhalb eines 30-minütigen Zeitfensters zu implementieren und ein gemeinsames Runbook für SecOps/StorageOps speziell zur Beendigung GhostLock-Tool und der Quellcode sind unter github.com/kimd155/ghostlock verfügbar, die begleitende Forschungsseite befindet sich unter ghostlock.io.

Cyberkriminelle dringen nun nicht mehr durch Ihre Haustür, sondern über Ihre Lieferanten ein – Kostenloser Webinar. Der Beitrag „GhostLock-Angriff nutzt Windows-Dateifreigabe, um Dateien wie Ransomware zu sperren" erschien erstmals auf Cyber Security News.