){kind=link}
Um pesquisador de segurança publicou uma ferramenta que demonstra como um recurso legítimo do Windows pode ser usado para bloquear o acesso a arquivos em redes corporativas, causando o mesmo impacto operacional de um ataque de ransomware – tudo isso sem modificar um único byte em disco. A técnica foi criada por Kim Dvash, da Israel Aerospace Industries, e o código foi publicado no GitHub sob o nome GhostLock.
O objetivo declarado é alertar empresas sobre um vetor de ataque que praticamente nenhuma ferramenta de segurança atual consegue detectar.
smart_display
Nossos vídeos em destaque
Ataque usa função nativa do Windows
O GhostLock abusa de uma função chamada CreateFileW, presente em todas as versões do Windows. Basicamente, é a função que qualquer programa usa para abrir um arquivo – utilizada pelo Word ou Excel, por exemplo. Essa função tem um parâmetro chamado dwShareMode, que define se outros processos podem acessar o mesmo arquivo ao mesmo tempo.
Quando esse parâmetro recebe o valor zero, o Windows coloca o arquivo em modo exclusivo. Nenhum outro usuário ou programa consegue abri-lo enquanto o bloqueio estiver ativo. Isso não é uma falha de segurança, mas um comportamento documentado e intencional do sistema operacional. O próprio Word faz isso quando você abre um documento para edição.
Script trava centenas de milhares de arquivos em minutos
O que o GhostLock faz é aplicar esse bloqueio em escala. A ferramenta, escrita em Python, usa 32 tarefas paralelas para varrer toda a estrutura de pastas de um servidor de arquivos e abrir cada documento nesse modo exclusivo.
)
Em uma rede com 500 mil arquivos, o processo completo leva menos de dez minutos. Qualquer usuário que tente abrir qualquer um desses arquivos durante esse período recebe uma mensagem de erro. O efeito prático é idêntico ao de um ransomware. A diferença é que nenhum arquivo foi criptografado, renomeado ou alterado.
Qualquer usuário comum consegue executar o ataque
Um detalhe que torna a técnica especialmente preocupante é que ela não exige nenhum privilégio administrativo. Um funcionário com conta de domínio padrão, ou um atacante que tenha comprometido qualquer máquina da rede, consegue rodar o GhostLock sem nenhuma elevação de permissão.
)
O ataque funciona tanto em arquivos locais quanto em compartilhamentos de rede via SMB, o protocolo que empresas usam para centralizar documentos em servidores. Isso porque o próprio servidor recebe a requisição de modo exclusivo e passa a rejeitar qualquer outra tentativa de acesso a esses arquivos, de qualquer outro computador da rede.
Se o atacante for desconectado, ele reconecta e refaz todos os bloqueios em questão de minutos. O processo pode ser rodado simultaneamente em vários dispositivos comprometidos para dificultar ainda mais a contenção.
Nenhuma ferramenta de segurança convencional detecta o ataque
As ferramentas de segurança tradicionais monitoram escrita, modificação e exclusão de arquivos, mas o GhostLock não faz nada disso. O único sinal observável do ataque fica dentro das interfaces de administração do servidor de armazenamento, em uma métrica que registra quantos arquivos uma sessão tem abertos em modo exclusivo. Essa informação não aparece nos logs padrão do Windows e não é coletada por praticamente nenhum sistema de monitoramento corporativo.
Dvash descreveu a técnica ao BleepingComputer como um ataque de disrupção, não de destruição. “O paralelo com o ransomware é a janela de inatividade operacional, não a perda de dados”, disse o pesquisador.
)
Restauração é simples, detecção é o problema
A boa notícia é que o dano não é permanente. Assim que a sessão do atacante é encerrada, seja manualmente pela equipe de TI, seja por um reboot do servidor, o Windows fecha todos os handles automaticamente e o acesso aos arquivos é restaurado de imediato. Nenhum dado é perdido.
)
O problema real é o tempo entre o início do ataque e a identificação da causa. Isso porque a maioria das equipes de resposta a incidentes não tem expertise imediata em administração de storage, que é exatamente onde o sinal do ataque aparece.
Dvash publicou o GhostLock para que empresas possam testar se seus ambientes conseguem detectar esse comportamento antes que um agente mal-intencionado explore a técnica em um ataque real.