Image credit: magnific
GhostLock Kunci File Tanpa Ransomware – Seorang peneliti keamanan baru-baru ini merilis sebuah alat pembuktian konsep (Proof-of-Concept/PoC) bernama GhostLock.
Alat ini mendemonstrasikan bagaimana API file Windows yang sah dapat disalahgunakan untuk memblokir akses ke file yang tersimpan secara lokal maupun pada jaringan (SMB network shares).
Teknik yang dikembangkan oleh peneliti bernama Kim Dvash ini menyalahgunakan API ‘CreateFileW’ dan mode berbagi file (file-sharing modes) pada Windows.
Tujuannya adalah untuk mencegah pengguna atau aplikasi lain membuka file selama handle (akses kontrol) file tersebut tetap aktif oleh penyerang.
|
Baca juga: Spiderman Serang Eropa Siap Ancam RI |
Cara Kerja Teknik GhostLock
Inti dari teknik GhostLock terletak pada parameter ‘dwShareMode’ di dalam fungsi CreateFileW(). Parameter ini biasanya digunakan untuk menentukan jenis akses yang diizinkan bagi proses lain saat sebuah file sedang dibuka.
Berikut adalah mekanisme penyalahgunaannya:
- Eksklusivitas Akses: Ketika sebuah file dibuka dengan nilai dwShareMode = 0, Windows akan memberikan akses eksklusif kepada proses tersebut.
- Pemblokiran Total: Selama proses penyerang memegang handle file tersebut, aplikasi atau pengguna lain yang mencoba membuka file yang sama akan mendapatkan pesan kesalahan ‘STATUS_SHARING_VIOLATION’.
- Tanpa Hak Istimewa: Alat GhostLock dapat dijalankan oleh pengguna domain standar dan tidak memerlukan hak istimewa admin (elevated privileges) untuk mengunci file.
Meskipun dampaknya tidak merusak data secara permanen (seperti ransomware), GhostLock dapat menyebabkan henti operasional (downtime) yang signifikan.
Akses ke file baru akan pulih setelah sesi SMB dihentikan, proses GhostLock dimatikan, atau sistem yang terdampak dimulai ulang (reboot).
GhostLock sebagai Taktik Pengalihan
Dilihat dari sisi strategis, GhostLock lebih condong sebagai serangan gangguan daripada penghancuran data.
Namun, para peneliti memperingatkan bahwa teknik ini sangat efektif digunakan sebagai pengalih perhatian (decoy) selama insiden siber berlangsung.
- Aktor ancaman dapat memicu gangguan akses file secara luas di seluruh jaringan perusahaan untuk:
- Membanjiri Tim IT: Membuat staf keamanan sibuk menangani keluhan pengguna mengenai file yang tidak bisa dibuka.
- Menutupi Jejak: Selagi tim IT fokus pada gangguan akses, penyerang dapat melakukan pencurian data, pergerakan lateral, atau aktivitas berbahaya lainnya tanpa gangguan.
- Menghindari Deteksi EDR: Banyak produk keamanan berfokus pada pendeteksian operasi penulisan file massal atau enkripsi data. Karena GhostLock hanya melakukan permintaan “buka file” yang sah dalam jumlah besar, ia sering kali tidak terdeteksi oleh sistem deteksi perilaku standar.
|
Baca juga: Langkah Menghentikan Penipuan Online Modern |
Tantangan Deteksi dan Mitigasi
Mendeteksi serangan GhostLock merupakan tantangan besar karena metrik serangan ini tidak muncul di tempat yang biasa diperiksa oleh tim keamanan.
Menurut peneliti, bukti serangan ini hanya dapat diidentifikasi secara andal melalui jumlah file terbuka per sesi dengan nilai ShareAccess = 0 pada lapisan server file.
Metrik ini biasanya berada di dalam antarmuka manajemen platform penyimpanan, bukan di log peristiwa Windows (Windows event logs), telemetri EDR, atau data aliran jaringan.
Berikut adalah langkah mitigasi dan penjagaan yang disarankan:
- Gunakan Query SIEM Khusus: Terapkan kueri pemantauan pada sistem manajemen informasi keamanan (SIEM) yang secara spesifik mencari lonjakan aktivitas pembukaan file dengan akses eksklusif.
- Pantau Sesi SMB: Awasi sesi SMB yang mencurigakan yang berasal dari satu titik akhir (endpoint) namun membuka ratusan atau ribuan file secara bersamaan.
- Terapkan Aturan NDR: Gunakan aturan Deteksi dan Respons Jaringan (NDR) untuk mengidentifikasi pola lalu lintas SMB yang tidak wajar.
- Audit Izin File: Secara rutin tinjau izin akses pada network shares untuk memastikan prinsip hak istimewa minimum diterapkan, sehingga membatasi jumlah file yang dapat “disentuh” oleh pengguna standar.
Gangguan Operasional
GhostLock mengingatkan kita bahwa penyerang tidak selalu ingin menghancurkan data untuk melumpuhkan sebuah organisasi.
Terkadang, sekadar mengunci pintu akses sudah cukup untuk menciptakan kekacauan yang memberikan jalan bagi serangan yang lebih fatal.
Di masa sekarang, strategi pertahanan harus meluas melampaui pendeteksian malware tradisional, mencakup pemantauan terhadap penyalahgunaan fungsi sistem operasi yang sah untuk tujuan jahat.
Sumber berita:
