GhostLock Convierte el uso compartido de archivos de Windows en una trampa de denegación de acceso

Introducción

Los defensores empresariales están entrenados para buscar cifrado, corrupción y exfiltración. GhostLock apunta a un problema distinto: un atacante podría abusar del comportamiento ordinario de apertura de archivos en Windows para crear un evento de bloqueo en recursos compartidos SMB, dejando los archivos empresariales inaccesibles incluso cuando su contenido permanece intacto.

En el momento de escribir esto, la información pública no establece por completo la ruta técnica completa, la prevalencia real de la técnica ni el alcance operativo total de los entornos afectados.

Datos rápidos

• GhostLock se describe como una técnica recién divulgada dirigida a recursos compartidos de archivos SMB en Windows.
• El comportamiento central parece basarse en aperturas exclusivas de archivos en lugar de cifrado de archivos.
• CreateFileW de Windows puede solicitar acceso exclusivo cuando el modo de compartición se establece en cero.
• SMB y SMB2 aplican reglas de compartición y bloqueo que pueden impedir el acceso de otros procesos.
• La detección puede necesitar centrarse en la actividad de bloqueo, anomalías de sesión y patrones de apertura inusuales.

Cuerpo

El interés técnico aquí no es el daño a los datos en disco, sino la contención por el acceso. En Windows, CreateFileW es la API estándar para abrir archivos, y sus indicadores de compartición son importantes. Si un proceso solicita acceso exclusivo, otras aperturas que entren en conflicto con esa solicitud pueden fallar con una infracción de compartición hasta que el manejador se cierre.

Eso importa en los recursos compartidos SMB porque el protocolo está diseñado para aplicar reglas de acceso a través de la red. SMB2 también admite bloqueos de rango de bytes, que pueden impedir otras lecturas, escrituras o bloqueos en las regiones protegidas. En términos prácticos, una gran cantidad de aperturas exclusivas o solicitudes de bloqueo puede crear un problema de disponibilidad sin modificar ni un solo byte del contenido del archivo.

Desde una perspectiva defensiva, esto es importante porque muchos controles de seguridad están ajustados para detectar comportamiento de cifrado, reescrituras masivas de archivos o actividad destructiva obvia. Un ataque de bloqueo centrado solo en la disponibilidad puede dejar una huella de telemetría diferente: ráfagas de intentos de apertura de archivos, un aumento en el acceso exclusivo y violaciones de compartición informadas por usuarios legítimos.

El riesgo más amplio es que una cuenta con acceso válido al recurso compartido podría causar una interrupción desproporcionada si puede tocar muchos archivos rápidamente y mantener esos manejadores abiertos. Eso no demuestra que GhostLock sea fácil de reproducir o esté ampliamente desplegado, pero sí muestra por qué la supervisión de servidores de archivos debe incluir el comportamiento de manejadores y bloqueos, no solo eventos de modificación de datos.

Para los defensores, la lección práctica es sencilla: supervise los registros de SMBClient y SMBServer, restrinja los permisos amplios sobre los recursos compartidos, mantenga habilitadas la firma y el cifrado de SMB, y planifique la terminación forzada de sesiones cuando un servidor de archivos quede bloqueado detrás de manejadores sospechosos. Los ataques de disponibilidad a menudo parecen silenciosos hasta que los usuarios empiezan a encontrar errores de “acceso denegado” o “violación de compartición” a gran escala.

Conclusión

GhostLock es un recordatorio de que un archivo bloqueado puede ser tan disruptivo como uno cifrado. La lección para los equipos de seguridad no es asumir que el impacto al estilo ransomware siempre requiere corrupción de archivos. En entornos Windows, las propias reglas de acceso pueden convertirse en el arma, y eso hace que la telemetría de SMB sea una defensa de primera línea en lugar de una idea secundaria.

TECHCROOK

unidad de respaldo externa: Mantener una copia sin conexión de los archivos críticos es un paso práctico de recuperación cuando las carpetas compartidas dejan de estar disponibles o un servidor queda bloqueado detrás de bloqueos sospechosos. Una unidad externa USB es sencilla, ampliamente disponible y útil para copias de seguridad locales programadas o restauraciones rápidas. Busque suficiente capacidad para copias completas de archivos, cifrado por hardware si es necesario y una carcasa resistente para uso en oficina.

WIKICROOK

• CreateFileW: Una API de Windows utilizada para abrir archivos o dispositivos con configuraciones definidas de acceso y compartición.
• dwShareMode: Un parámetro de CreateFileW que controla si otros procesos pueden compartir el archivo abierto.
• SMB: Un protocolo de compartición de archivos en red utilizado por sistemas Windows para acceder a archivos a través de una red.
• Violación de compartición: Un error que ocurre cuando otra apertura entra en conflicto con las reglas de compartición actuales del archivo.
• Bloqueo de rango de bytes: Un bloqueo sobre parte de un archivo que puede impedir otras operaciones de lectura, escritura o bloqueo.