**Kim Dvash** von **Israel Aerospace Industries** hat eine Technik namens **GhostLock** entwickelt, die die Windows `CreateFileW`-API und File-Sharing-Modi missbraucht, um zu verhindern, dass andere Benutzer und Anwendungen Dateien öffnen können. Dies geschieht, solange die Dateihandles aktiv bleiben, wodurch andere Benutzer effektiv ausgesperrt werden. ### Die GhostLock-Technik Die **GhostLock**-Technik nutzt den Parameter `dwShareMode` innerhalb der `CreateFileW()`-Funktion aus. Dieser Parameter bestimmt die Art des Zugriffs, den andere Prozesse auf eine Datei haben, während sie bereits von einem anderen Prozess geöffnet ist. Wenn `dwShareMode` auf `0` gesetzt wird, erhält der initiierende Prozess exklusiven Zugriff, wodurch verhindert wird, dass andere Benutzer oder Anwendungen die Datei öffnen können. Versuche, auf die Datei zuzugreifen, führen unter Windows zu einem `STATUS_SHARING_VIOLATION`-Fehler. Zum Beispiel: ```c HANDLE hFile = CreateFileW( L"\\server\share\finance.xlsx", GENERIC_READ, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL ); ```  ### GhostLock-Tool **Dvash** hat das **GhostLock-Tool** auf **GitHub** veröffentlicht, das den Angriff automatisiert, indem es rekursiv eine große Anzahl von Dateien auf SMB-Freigaben öffnet. Solange diese Dateihandles geöffnet bleiben, schlagen nachfolgende Zugriffsversuche auf die Dateien aufgrund von Sharing-Verletzungen fehl. Das Tool arbeitet mit Standard-Domain-Benutzerrechten und erfordert keine erhöhten Berechtigungen. Ein Angreifer kann die Störung verstärken, indem er den Angriff von mehreren kompromittierten Geräten gleichzeitig startet und Dateihandles kontinuierlich neu erwirbt, sobald Prozesse beendet werden. ### Abhilfemaßnahmen und Auswirkungen Das Beenden der SMB-Sitzung, das Beenden der **GhostLock**-Prozesse oder das Neustarten des betroffenen Systems gibt die Dateihandles frei und stellt den Zugriff auf die Dateien wieder her. **Dvash** betont, dass diese Technik in erster Linie ein Störangriff ist, ähnlich einem Denial-of-Service, und kein destruktiver Angriff wie Ransomware. Die Auswirkungen liegen in der Betriebsunterbrechung, nicht im Datenverlust. Obwohl nicht destruktiv, kann dieser Angriff als Ablenkungsmanöver während von Intrusionen verwendet werden. Durch die Schaffung weit verbreiteter Störungen beim Dateizugriff können Angreifer die IT-Mitarbeiter ablenken, während sie Datenklau, laterale Bewegungen oder andere bösartige Aktivitäten an anderer Stelle in der Umgebung durchführen. ### Erkennungsschwierigkeiten Viele Sicherheitsprodukte konzentrieren sich auf die Erkennung von Massen-Dateischreibvorgängen oder Verschlüsselungen. **GhostLock** generiert legitime Anfragen zum Öffnen von Dateien, was die Erkennung potenziell erschwert. Laut **Dvash** ist die zuverlässigste Anzeige die Anzahl der geöffneten Dateien pro Sitzung mit `ShareAccess = 0` auf der Ebene des Dateiservers. Diese Metrik befindet sich in den Verwaltungs-Schnittstellen der Speicherplattform und nicht typischerweise in Windows-Ereignisprotokollen, EDR-Telemetriedaten oder Netzwerkflussdaten. **Dvash** hat im [GhostLock-Whitepaper](https://zenodo.org/records/20070064) SIEM-Abfragen und eine NDR-Erkennungsregel bereitgestellt, um IT-Teams bei der Erkennung zu unterstützen.