GhostLock-Attacke nutzt Windows-Dateifreigabe, um Dateien wie Ransomware zu sperren

Dadurch wird die Dateierkennung auf einem

Dadurch wird die Dateierkennung auf einem Share mit 500.000 Dateien von über 61 Minuten auf etwa 6 Minuten und 22 Sekunden reduziert. Experimentelle Tests an isolierter Infrastruktur zeigten, dass die Beschaffung von Handles über 500.000 Dateien in nur 2 Minuten und 37 Sekunden abgeschlossen wurde, wobei eine Lock-Erfolgsrate von 99,6 % erreicht wurde.

Während einer 60-Sekunden-Haltephase verzeichneten Opfer-Simulationen eine Dateizugriffsblockrate von 99,8 %.

Eine einzelne SMB-Sitzung kann bis zu 64.000 exklusive Handles gleichzeitig halten; mit zehn parallelen Sitzungen kann ein Angreifer mehr als 500.000 gesperrte Handles erzeugen, was ausreicht, um einen signifikanten Anteil einer gesamten Enterprise-NAS-Implementierung zu lahmlegen.

Sicherheitslage und Risiko

Was GhostLock besonders gefährlich macht, ist seine vollständige Umgehung jeder konventionellen Ransomware-Abwehrschicht.

Die Studie bewertete das Tool gegenüber sieben Kategorien unternehmenssicherheitsrelevanter Kontrollen: - Honeypots und Kanariendateien erzeugten keine Alarme – Kanariendateien lösen bei Schreibereignissen aus, während GhostLock keine Schreibvorgänge durchführt. - Detektoren für Schreibrate-Anomalien erzeugten keine Alarme – die von ihnen überwachte Metrik (Schreiboperationen) ist schlicht nicht vorhanden. - Verhaltensbasierte KI-Ransomware-Engines erzeugten keine Alarme – das Lese-Öffnungsprofil von GhostLock ist nicht von einem Suchindexierer oder einem Backup-Vorscan-Agenten zu unterscheiden. - Kommerzielle EDR-Agenten erzeugten keine Alarme – das Systemaufrufprofil spiegelt das Öffnen von Dokumenten in Microsoft Word wider. - NDR/Tiefenpaketinspektion erzeugten keine Alarme – der SMB2-Verkehr zeigte lediglich CREATE- und CLOSE-Anfragen, identisch mit normalem Dokumentzugriff. - SIEM-Korrelationsregeln erzeugten keine Alarme – kein bestehender Regelwerk überwacht die pro Sitzung kumulierte Anzahl exklusiver Handles.

Das einzige verlässliche Detektionssignal befindet sich innerhalb der NAS-Verwaltungsschicht selbst: die pro Sitzung gezählte Anzahl gleichzeitig gehaltenen exklusiven Handles.

Was die Studie zeigt

Der Bericht stellt fest, dass eine legitime Single-User-Anwendung in der Regel nicht mehr als ein paar Dutzend exklusiver Handles gleichzeitig hält, während GhostLock Zehntausende ansammelt; dieser Metrik wird jedoch von keinem der in der Studie untersuchten Enterprise-SIEM-Systeme erfasst.

Selbst nach der Erkennung ist die Wiederherstellung nicht einfach: Das Beenden der betroffenen SMB-Sitzung erfordert Expertise im Bereich der Storage-Administration, und in den meisten großen Unternehmen arbeiten das Storage-Operations-Team und das Security-Operations-Team unabhängig voneinander, ohne vordefinierte gemeinsame Runbooks.

In Tabletop-Übungen ohne ein vorab erstelltes Runbook betrug die geschätzte mittlere Wiederherstellungszeit 4 bis 8 Stunden.

Einordnung fuer Autofahrer

Bemerkenswerterweise bleiben, wenn die Active-Directory-Credentials des Angreifers widerrufen werden, die bestehende authentizierte SMB-Sitzung und alle ihre Sperren weitere 15 bis 60 Minuten bestehen, abhängig von der Plattformkonfiguration, bevor die Sitzungstimeout eintritt.

Dvash fordert NAS-Anbieter auf, als Standard-Sicherheitstelemetrie die Anzahl pro Sitzung exklusiver Handles neben den bestehenden Syslog-Ausgaben offenzulegen und SIEM-Anbieter zu drängen, Speicherplattform-Integrationen zu entwickeln, die diese Daten aufnehmen.

Für sofortige defensive Maßnahmen empfiehlt die Studie, Alarme auszulösen, sobald eine einzelne SMB-Sitzung mehr als 500 exklusive Handles ansammelt, eine NDR-Regel für Massenvorgänge von SMB-CREATE-Anfragen ohne entsprechende WRITE-Operationen innerhalb eines 30-minütigen Zeitfensters zu implementieren und ein gemeinsames Runbook für SecOps/StorageOps speziell zur Beendigung von NAS-Sitzungen zu etablieren.

Technik und Auswirkungen

Das GhostLock-Tool und der Quellcode sind unter github.com/kimd155/ghostlock verfügbar, die begleitende Forschungsseite befindet sich unter ghostlock.io. Cyberkriminelle dringen nun nicht mehr durch Ihre Haustür, sondern über Ihre Lieferanten ein – Kostenloser Webinar.

Der Beitrag „GhostLock-Angriff nutzt Windows-Dateifreigabe, um Dateien wie Ransomware zu sperren" erschien erstmals auf Cyber Security News.