Giriş
Son dönemlerde, siber güvenlik alanındaki tehditler giderek daha karmaşık hale gelirken, araştırmalar yeni saldırı yöntemlerini ortaya koymaya devam ediyor. İsrail Hava Yolları’ndan Kim Dvash tarafından geliştirilen GhostLock aracı, Windows dosya API’sinin kötüye kullanımıyla dosyalara erişimi engelleyerek büyük bir güvenlik riski oluşturuyor.
Saldırı Nasıl Çalışıyor?
GhostLock tekniği, Windows’un CreateFileW API’sını ve dosya paylaşım modlarını kullanarak, aktif olan dosya tanıtıcıları (handles) aracılığıyla başka kullanıcıların veya uygulamaların dosyaları açmasını engelliyor. dwShareMode parametresi, bir dosya açıldığında diğer süreçlerin o dosyaya erişim türünü belirler. Aşağıdaki durumlarda, dwShareMode = 0 olarak ayarlandığında, Windows sürece dosyanın tekil erişimini verir ve diğer kullanıcıların veya uygulamaların dosyayı açmasını engeller.
Örneğin, aşağıdaki kod, finance.xlsx dosyasını tekil modda açarak başka süreçlerin ona erişimini engeller:
HANDLE hFile = CreateFileW(
L"\\server\share\finance.xlsx",
GENERIC_READ,
0,
NULL,
OPEN_EXISTING,
FILE_ATTRIBUTE_NORMAL,
NULL
);
Dosyayı açmaya çalıştığınızda, Windows aşağıdaki STATUS_SHARING_VIOLATION hata mesajını gösterecektir.
Kaynak: Kim Dvash
Etkilenen Sistemler
GhostLock, çok sayıda dosyayı aynı anda açarak SMB paylaşımında bu dosyalara erişim engeli oluşturmak için “standart” kullanıcılar tarafından çalışan bir araçtır. Saldırganlar, birden fazla tehlikeye atılmış cihazdan saldırıyı başlatarak dosya tanıtıcılarını sürekli olarak yeniden edinmekte ve etkin sistemler baktıktan sonra erişimi engelleyebilir.
Saldırıdan etkilenen sistemlerde, SMB oturumu sonlandırıldığında, GhostLock işlemleri sonlandırılır veya sistem yeniden başlatıldığında, Windows otomatik olarak tanıtıcıları kapatır ve dosyalara erişimi geri sağlar. Dvash, bu tekniğin esasen bir bozucu saldırı olarak değerlendirilmesi gerektiğini belirtmektedir; tahrip edici bir saldırı yerine operasyonel kesintilere yol açar.
Çözüm ve Korunma
GhostLock, genellikle kötü niyetli dosya yazma veya şifreleme işlemlerini tespit etmeye odaklanan birçok güvenlik ürünü ve davranışsal tespit sistemlerinden kaçınmak için tasarlanmıştır. Aşağıdaki önlemler alınarak bu saldırı türüne karşı korunabilirsiniz:
- Dosya sunucu katmanında oturum başına açık dosya sayısını izlemek.
- SIEM sistemleri için önerilen sorguları ve NDR algılama kurallarını kullanmak.
- Güvenlik güncellemelerini sürekli takip ederek sistemlerinizi güncel tutmak.
Dvash, sistem yöneticilerine saldırının tespitine yönelik bazı şablon önerilerini içeren GhostLock beyaz kitabını yayınladığını belirtmiştir. Bu belge, IT takımları ve savunucular için kullanılabilir.
Sonuç
Okuyucuların, sistemlerinde güncellemeleri yapmaları ve SMB paylaşım ayarlarını gözden geçirmeleri büyük önem taşımaktadır. Aksi takdirde, dosyalara erişim engeli oluşturan bu tekniklerden etkilenebilirler. Ağ üzerinde potansiyel tehditleri izlemek ve saldırı girişimlerine karşı caydırıcı olmak için proaktif adımlar atılmalıdır.
