**Kim Dvash**, de **Israel Aerospace Industries**, ha desarrollado una técnica, denominada **GhostLock**, que abusa de la API `CreateFileW` de Windows y de los modos de intercambio de archivos para impedir que otros usuarios y aplicaciones abran archivos. Esto se logra mientras los identificadores de archivo (file handles) permanecen activos, bloqueando efectivamente a otros usuarios. ### La Técnica GhostLock La técnica **GhostLock** explota el parámetro `dwShareMode` dentro de la función `CreateFileW()`. Este parámetro dicta el tipo de acceso que otros procesos tienen a un archivo mientras este ya está abierto por otro proceso. Establecer `dwShareMode` en `0` otorga al proceso iniciador acceso exclusivo, impidiendo que cualquier otro usuario o aplicación abra el archivo. Los intentos de acceder al archivo resultarán en un error `STATUS_SHARING_VIOLATION` en Windows. Por ejemplo: ```c HANDLE hFile = CreateFileW( L"\\server\share\finance.xlsx", GENERIC_READ, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL ); ```  ### Herramienta GhostLock **Dvash** ha publicado la **herramienta GhostLock** en **GitHub**, la cual automatiza el ataque abriendo recursivamente una gran cantidad de archivos en recursos compartidos SMB. Mientras estos identificadores de archivo permanezcan abiertos, los intentos subsiguientes de acceder a los archivos fallarán debido a violaciones de intercambio. La herramienta opera con privilegios de usuario de dominio estándar, sin requerir permisos elevados. Un atacante puede amplificar la interrupción lanzando el ataque desde múltiples dispositivos comprometidos simultáneamente, re-adquiriendo continuamente identificadores de archivo a medida que los procesos son terminados. ### Mitigación e Impacto Terminar la sesión SMB, eliminar los procesos de **GhostLock** o reiniciar el sistema afectado liberará los identificadores de archivo y restaurará el acceso a los archivos. **Dvash** enfatiza que esta técnica es principalmente un ataque de interrupción, similar a una denegación de servicio, en lugar de un ataque destructivo como el ransomware. El impacto es en el tiempo de inactividad operativo, no en la pérdida de datos. Aunque no es destructivo, este ataque puede ser utilizado como señuelo durante intrusiones. Al crear interrupciones generalizadas en el acceso a archivos, los atacantes pueden distraer al personal de TI mientras realizan robo de datos, movimiento lateral u otras actividades maliciosas en otro lugar del entorno. ### Desafíos de Detección Muchos productos de seguridad se centran en detectar escrituras masivas de archivos o cifrado. **GhostLock** genera solicitudes legítimas de apertura de archivos, lo que lo hace potencialmente más difícil de detectar. Según **Dvash**, el indicador más confiable es el recuento de archivos abiertos por sesión con `ShareAccess = 0` a nivel del servidor de archivos. Esta métrica reside dentro de las interfaces de gestión de la plataforma de almacenamiento, no típicamente en los registros de eventos de Windows, telemetría EDR o datos de flujo de red. **Dvash** ha proporcionado consultas SIEM y una regla de detección NDR en el [documento técnico de GhostLock](https://zenodo.org/records/20070064) para ayudar a los equipos de TI en los esfuerzos de detección.