Tietoturvatutkija on julkaissut GhostLock-nimisen proof-of-concept-työkalun, joka väärinkäyttää legitiimiä Windows File API:a estääkseen pääsyn paikallisiin tiedostoihin ja SMB-verkkojakoihin. Työkalu osoittaa kuinka standardia Windows-toiminnallisuutta voidaan käyttää hyökkäyksissä ilman haitallisia tiedostoja tai perinteistä malwarea.
Tietoturvatutkija on kehittänyt GhostLock-nimisen työkalun, joka demonstroi Windows File API:n väärinkäyttöä tiedostojen lukitsemisessa. Työkalu hyödyntää laillista Windows-toiminnallisuutta CreateFileW-funktion kautta luodakseen eksklusiivisia tiedostolukituksia, jotka estävät muita prosesseja käyttämästä kohdetiedostoja. Tekniikka toimii sekä paikallisesti tallennettujen tiedostojen että SMB-verkkojakostojen kanssa.
GhostLock toimii täysin Windows-käyttöjärjestelmän sisäänrakennettuja ominaisuuksia hyödyntäen, mikä tekee siitä vaikeasti havaittavan perinteisillä tietoturvaohjelmistoilla. Työkalu ei tarvitse haitallisia tiedostoja eikä perinteistä malwarea toimiakseen, vaan se käyttää hyväkseen API-kutsuja jotka kuuluvat normaaliin järjestelmätoimintaan. Tämä living-off-the-land-lähestymistapa tekee hyökkäyksestä huomaamattoman ja vaikean torjua.
Hyökkäys voi aiheuttaa merkittäviä häiriöitä organisaatioissa, erityisesti kun se kohdistetaan kriittisiin tiedostoihin tai verkkojakoihin. Lukitukset voivat estää käyttäjiä avaamasta tärkeitä dokumentteja, tietokantoja tai sovellustiedostoja, mikä johtaa tuotantohäiriöihin ja liiketoiminnan keskeytymiseen. SMB-verkkojakojen lukitseminen voi lamauttaa kokonaisia tiimejä tai osastoja yhtäaikaisesti.
IT-ammattilaiset voivat suojautua hyökkäykseltä monitoroimalla epänormaaleja tiedostojen käyttöoikeuskuvioita ja asettamalla rajoituksia CreateFileW-funktion käytölle kriittisillä järjestelmillä. Windows Event Log -seuranta voi paljastaa epäilyttäviä tiedostolukitustapahtumia, ja verkkoliikenteen analysointi auttaa havaitsemaan SMB-pohjaisia hyökkäyksiä. Tutkija suosittelee organisaatioita testaamaan omia puolustuksiaan GhostLock-työkalulla kontrolloidussa ympäristössä.
Tärkeimmät pointit
- GhostLock hyödyntää Windows CreateFileW API:a eksklusiivisten tiedostolukitusten luomiseen
- Toimii sekä paikallisten tiedostojen että SMB-verkkojakostojen kanssa
- Living-off-the-land-tekniikka käyttää vain laillisia Windows-toimintoja
- Ei vaadi haitallisia tiedostoja tai perinteistä malwarea toimiakseen
- Vaikea havaita perinteisillä antivirusohjelmistoilla
- Voi aiheuttaa merkittäviä tuotantohäiriöitä organisaatioissa
- Windows Event Log -seuranta voi paljastaa epäilyttävää toimintaa
Lähde: Bleeping Computer — alkuperäinen artikkeli julkaistu 11.5.2026
