Seorang peneliti keamanan siber dari Israel Aerospace Industries, Kim Dvash, baru saja merilis sebuah alat Proof-of-Concept (PoC) yang diberi nama GhostLock. Alat ini mendemonstrasikan bagaimana fungsi API file Windows yang sah dapat disalahgunakan dalam serangan siber untuk memblokir akses ke file yang disimpan secara lokal maupun di jaringan berbagi (SMB network shares).
Teknik ini pada dasarnya bekerja dengan mencegah pengguna atau aplikasi lain membuka file selama proses yang dijalankan oleh peretas masih aktif.
Mekanisme Serangan: Memanipulasi Parameter API
GhostLock secara khusus mengeksploitasi fungsi API Windows CreateFileW(), lebih tepatnya pada parameter dwShareMode. Parameter ini bertugas menentukan jenis akses yang dimiliki proses lain terhadap suatu file saat file tersebut sedang dibuka.
Ketika sebuah file dibuka dengan nilai dwShareMode = 0, sistem operasi Windows akan memberikan akses eksklusif secara penuh kepada proses tersebut. Akibatnya:
- Tidak ada pengguna atau aplikasi lain yang bisa membuka, membaca, atau memodifikasi file tersebut.
- Jika ada proses lain yang mencoba mengaksesnya, Windows akan memblokirnya dan menampilkan pesan kesalahan
STATUS_SHARING_VIOLATION.
Dalam pengujiannya, Dvash memublikasikan alat GhostLock ini di GitHub. Alat tersebut mampu mengotomatiskan serangan dengan membuka sejumlah besar file secara rekursif pada jaringan SMB. Hebatnya, alat ini dapat dijalankan oleh pengguna domain “standar” dan tidak memerlukan hak istimewa (administrator) untuk mengunci file.
Disrupsi Sistem dan Taktik Pengalih Perhatian
Dvash menegaskan kepada BleepingComputer bahwa GhostLock harus dipandang sebagai serangan disrupsi (Denial-of-Service), bukan serangan destruktif seperti ransomware.
- Dampak Sementara: Tidak ada data yang dienkripsi atau dihancurkan. Akses file akan otomatis pulih seketika apabila sesi SMB dihentikan, proses GhostLock dimatikan, atau sistem yang terdampak di-reboot.
- Taktik Umpan (Decoy): Meskipun hanya menyebabkan gangguan sementara, taktik ini sangat berbahaya jika digunakan sebagai pengalih perhatian selama intrusi jaringan. Peretas dapat melumpuhkan akses file secara massal untuk membuat staf IT kewalahan, sementara di sudut jaringan yang lain, mereka diam-diam melakukan pencurian data atau pergerakan lateral (lateral movement).
Dampak serangan akan berlipat ganda jika peretas meluncurkannya dari beberapa perangkat yang telah disusupi secara bersamaan dan terus-menerus mengambil alih kembali akses file setiap kali proses sebelumnya dihentikan.
Menjadi “Hantu” bagi Sistem Deteksi
Salah satu alasan mengapa teknik GhostLock sangat berbahaya adalah kemampuannya menghindari deteksi. Mayoritas produk keamanan modern (seperti EDR) dan sistem deteksi perilaku biasanya berfokus pada anomali seperti penulisan file massal atau operasi enkripsi massal.
Sebaliknya, GhostLock hanya menghasilkan sejumlah besar permintaan buka file (open requests) yang terlihat sah di mata sistem.
“Satu-satunya metrik yang dapat mengidentifikasi serangan ini secara andal adalah jumlah file terbuka per sesi dengan ShareAccess = 0 di lapisan server file. Metrik ini berada di dalam antarmuka manajemen platform penyimpanan, bukan di log peristiwa Windows, telemetri EDR, atau data aliran jaringan,” jelas Dvash.
Sebagai solusi mitigasi, Dvash telah membagikan templat kueri SIEM dan aturan deteksi NDR dalam whitepaper GhostLock yang dapat digunakan oleh tim keamanan IT untuk mendeteksi anomali ini.