حيلة فتح الملفات في ويندوز التي قد تجمّد مشاركات SMB من دون تشفير
تشير تقنية GhostLock المبلغ عنها إلى فئة أكثر هدوءًا من التعطيل: حظر الوصول إلى ملفات الشبكة عبر إساءة استخدام سلوك المشاركة العادي في ويندوز، لا عبر تشفير البيانات.
عندما يفكر المدافعون في برمجيات الفدية، فإنهم عادةً يتصورون ملفات مشفرة وأضرارًا واضحة. وتشير مزاعم GhostLock إلى نوع مختلف من أساليب الضغط: نمط لفتح الملفات في ويندوز قد يبقي ملفات SMB غير متاحة مع ترك محتواها دون مساس. وهذا مهم لأن هجمات تعطيل التوافر قد تكون مدمرة تشغيليًا حتى عندما لا تتغير أي بيانات.
حقائق سريعة
- GhostLock هو الاسم المرتبط بتقنية مُبلغ عنها تعتمد على CreateFileW في ويندوز.
- تُوصف التقنية بأنها تؤثر في ملفات SMB وتعمل من دون تشفير.
- تتحكم أوضاع المشاركة في ويندوز بما إذا كانت العمليات اللاحقة تستطيع قراءة ملف مفتوح أو الكتابة إليه أو حذفه.
- عبر SMB، تنتقل قواعد المشاركة هذه عبر الشبكة ويطبقها الخادم.
- يعتمد الأثر العملي على الأذونات وأنماط استخدام الملفات وإعدادات الخادم.
كيف تعمل نقطة الضغط
الجوهر التقني ليس منطق برمجيات خبيثة متقدمًا. بل يكمن في الطريقة التي يتعامل بها Windows مع فتح الملفات. تتيح CreateFileW لعملية ما طلب الوصول وتحديد سلوك المشاركة في الوقت نفسه. وإذا فُتح ملف بإعدادات مشاركة تقييدية، فقد تفشل محاولات الوصول اللاحقة بخطأ انتهاك المشاركة إلى أن يتم إغلاق ذلك المقبض.
ويصبح هذا أكثر أهمية على مشاركات SMB، لأن المسار الشبكي مثل مشاركة UNC ليس مجرد مرجع ملف محلي. إذ ينقل بروتوكول SMB طلب الفتح، بما في ذلك عقد المشاركة، إلى الخادم. وعمليًا، يمكن لعملية تفتح العديد من الملفات على محرك أقراص مشترك بإعدادات حصرية أن تحدث تعطيلًا يشبه الإغلاق، من دون تغيير بايت واحد على القرص.
ومن منظور دفاعي، هذا مهم لسبب واحد: التأثير أقرب إلى هجوم على التوافر منه إلى برمجيات الفدية التقليدية. قد لا توجد حمولة مشفرة، ولا موجة إعادة تسمية للملفات، ولا حدث فساد واضح. وبدلًا من ذلك، قد يجد المستخدمون ببساطة أنهم لا يستطيعون إعادة فتح الملفات أو تعديلها أو حذفها بينما تظل المقابض نشطة.
لماذا ينبغي لفرق الأمن الاهتمام
تدعم المعلومات المتاحة تحليلًا للمخاطر، لا حكمًا نهائيًا على قابلية الاستغلال في كل بيئة Windows. ومن المرجح أن يختلف الأثر العملي بحسب الإصدار وأذونات المشاركة وكيفية تعامل التطبيقات على الشبكة مع الوصول المتزامن إلى الملفات. وفي بعض النشرات، قد تتمكن حتى حسابات محدودة ذات رؤية واسعة للمشاركة من إحداث تعطيل ملموس.
وهذا يجعل القياس أكثر قيمة من الافتراضات. يمكن لسجلات خوادم الملفات وSMB وبيانات العمليات على الأجهزة الطرفية أن تساعد في اكتشاف الاندفاعات غير المعتادة في الفتحات الحصرية أو المقابض طويلة الأمد. وينبغي للفرق أيضًا مراجعة التطبيقات والبرامج النصية التي تعتمد على أوضاع مشاركة تقييدية، خصوصًا عبر المسارات البعيدة، والتأكد من أن الوصول الحصري ضروري فعلًا.
يُعد مبدأ أقل قدر من الامتيازات، وتقسيم المشاركات، والمراقبة الدقيقة هي الضوابط الأساسية هنا. وهذا تذكير بأن المهاجم لا يحتاج دائمًا إلى تدمير البيانات لإحداث ألم تشغيلي كبير؛ فأحيانًا يكفي إساءة استخدام القواعد التي تحكم الوصول في المقام الأول.
الخلاصة
إن GhostLock، كما وُصف، ليس قصة عن التشفير بقدر ما هو درس في الدلالات. ففي Windows وSMB، قد يكون الخط الفاصل بين التعامل العادي مع الملفات والإغلاق التعطيلي رفيعًا. والدرس الأوسع بسيط: يمكن أن تنشأ حالات فشل التوافر من آليات عادية، ولهذا يحتاج المدافعون إلى مراقبة كيفية تصرف الأنظمة، لا مجرد الشكل الذي تبدو عليه البرمجيات الخبيثة.
TECHCROOK
external backup drive: يمكن لحوادث التوافر أن تجعل الملفات المشتركة غير قابلة للوصول حتى عندما تكون البيانات سليمة. ويُعد محرك النسخ الاحتياطي الخارجي وسيلة بسيطة للاحتفاظ بنسخ غير متصلة من المجلدات المهمة، حتى تتمكن الفرق من استعادة العمل إذا تعطل الوصول إلى مشاركة شبكية.
WIKICROOK
- CreateFileW: واجهة برمجة تطبيقات في Windows تُستخدم لفتح الملفات والأجهزة أو إنشائها، بما في ذلك الإعدادات التي تتحكم في المشاركة.
- SMB: بروتوكول شبكي للملفات والطابعات المشتركة في بيئات Windows.
- وضع المشاركة: قاعدة الوصول التي تحدد ما إذا كان بإمكان العمليات الأخرى قراءة ملف مفتوح أو الكتابة إليه أو حذفه.
- انتهاك المشاركة: الخطأ الذي يُعاد عندما يتعارض فتح جديد مع إعدادات المشاركة لمقبض ملف موجود.
- هجوم على التوافر: أسلوب يعطل الوصول إلى الأنظمة أو الملفات من دون تغيير محتواها بالضرورة.
