Networkforensic
Threat hunting
GHOSTLOCK
14 Maj 2026 - Blog Post # 893
GHOSTLOCK
GHOSTLOCK
er basalt set misbrug af et Windows API funktion, der kan låse
filer på en SMB server og gøre dem utilgængelige for andre. Det er
nok også de færreste der opdager selve angrebet, da det faktisk
kræver en del opsætninger at opdage hvem der basalt set låser filer
på en SMB server. Men om jeg ville kalde for det for et Ransomware
ligende angreb er jeg ikke enig i, da det er mere et DOS angreb som
så meget andet.
Der er lavet et
fint stykke
arbejde af folkende bag. Der er mitigerende anbefalinger jeg kan
anbefale man kaster et blik på.
Jeg har kastet mig over at få lavet IDS detection, for om man er
udsat for dette angreb. Det gælder både for deres
POC
og om man har mange request, der rent faktisk låser filer, så kan
man nu også finde den del via IDS eller Sysmon og herefter få det
behandlet i sit SIEM.
De pakker der rent faktisk låser filerne kan opdages via
netværktrafikken. Ved normal og almindelig brug af SMB er det ikke
pakker jeg er stødt på tidligere med de indstillinger i SMB, selvom de i deres skriv beskriver
at meget benytter dette. Så kan jeg ikke finde det. Når et angreb
sker er man heller ikke i tvivl når man kigger i netværkstrafikken,
for der kommer meget for at kunne låse et stort antal filer.
Jeg har opsat og testet dette tool ret grundigt vil jeg mene, og da
det er netop SMB protokollen som er det "værste protokol" at
analysere på, da det også er det største protokol der findes. Så har
det krævet et par dages arbejde i dette.
Klik for stort billede - Billedet viser et igangværende angreb
Test Tool
Deres POC er afprøvet i et test setup imod TrueNAS SMB servers.
På disse skal man faktisk have fuld Auditering sat op på shares, før man
overhovedet ser noget i ens logs der kan identificeret nogen former
for unormal brug. Hele angrbet holdes i 2 sessions dog med rigtig
meget SMB trafik til følge. Et ca 5 min angreb, laver hele 5 GB
netværkstrafik.
Fejl besked
Alle der forsøger at tilgå en låst fil på et system der er under
angreb, vil blive mødt med følgende fejlbesked.
"The action can't be completed because the folder or a file in it is
open in another program" - En lille udfordring med denne fejl
besked er at den ikke har et event id man kan lede efter. Det kunne
man måske godt ønske sig.
Detection frigivet
Jeg har både frigivet detection til IDS og til Sysmon. Så der burde
være en fin chance for at opdage og nogen forsøger dels at benytte
deres POC, eller at angribe direkte med et modificeret tool. Det vil
nok virke bedst såfremt det ryger ind i et SIEM.
Happy Hunting....
SNORT Rules
Latest updates
EHLO with IP
GHOSTLOCK POC
GHOSTLOCK File lock
BIMP-BotNet - AVRecon
BIMP-BotNet related
SMTP EHLO With IP
Download
Suricata Rules
Latest updates
Sliver
NGROK Tunnels
BIMP-BotNet
Download
Known scanners
Latest
update
80 Different
scanning actors
Download
Sysmon Config
Latest update
Config 162
Download