**Kim Dvash**, da **Israel Aerospace Industries**, desenvolveu uma técnica, apelidada de **GhostLock**, que abusa da API `CreateFileW` do Windows e dos modos de compartilhamento de arquivos para impedir que outros usuários e aplicativos abram arquivos. Isso é alcançado enquanto os identificadores de arquivo (`file handles`) permanecem ativos, efetivamente bloqueando outros usuários. ### A Técnica GhostLock A técnica **GhostLock** explora o parâmetro `dwShareMode` dentro da função `CreateFileW()`. Este parâmetro dita o tipo de acesso que outros processos têm a um arquivo enquanto ele já está aberto por outro processo. Definir `dwShareMode` para `0` concede ao processo iniciador acesso exclusivo, impedindo que qualquer outro usuário ou aplicativo abra o arquivo. Tentativas de acessar o arquivo resultarão em um erro `STATUS_SHARING_VIOLATION` no Windows. Por exemplo: ```c HANDLE hFile = CreateFileW( L"\\server\share\finance.xlsx", GENERIC_READ, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL ); ```  ### Ferramenta GhostLock **Dvash** publicou a **ferramenta GhostLock** no **GitHub**, que automatiza o ataque abrindo recursivamente um grande número de arquivos em compartilhamentos SMB. Enquanto esses identificadores de arquivo permanecerem abertos, tentativas subsequentes de acessar os arquivos falharão devido a violações de compartilhamento. A ferramenta opera com privilégios de usuário de domínio padrão, não exigindo permissões elevadas. Um atacante pode amplificar a interrupção lançando o ataque de vários dispositivos comprometidos simultaneamente, readquirindo continuamente identificadores de arquivo à medida que os processos são encerrados. ### Mitigação e Impacto Encerrar a sessão SMB, matar os processos do **GhostLock** ou reiniciar o sistema afetado liberará os identificadores de arquivo e restaurará o acesso aos arquivos. **Dvash** enfatiza que esta técnica é primariamente um ataque de interrupção, semelhante a uma negação de serviço (DoS), em vez de um ataque destrutivo como ransomware. O impacto é no tempo de inatividade operacional, não na perda de dados. Embora não seja destrutivo, este ataque pode ser usado como um chamariz durante intrusões. Ao criar interrupções generalizadas no acesso a arquivos, os atacantes podem distrair a equipe de TI enquanto realizam roubo de dados, movimento lateral ou outras atividades maliciosas em outros locais do ambiente. ### Desafios de Detecção Muitos produtos de segurança focam na detecção de escritas ou criptografias massivas de arquivos. O **GhostLock** gera solicitações legítimas de abertura de arquivos, tornando-o potencialmente mais difícil de detectar. De acordo com **Dvash**, o indicador mais confiável é a contagem de arquivos abertos por sessão com `ShareAccess = 0` na camada do servidor de arquivos. Essa métrica reside nas interfaces de gerenciamento da plataforma de armazenamento, não tipicamente nos logs de eventos do Windows, telemetria EDR ou dados de fluxo de rede. **Dvash** forneceu consultas SIEM e uma regra de detecção NDR no [whitepaper do GhostLock](https://zenodo.org/records/20070064) para auxiliar as equipes de TI nos esforços de detecção.