C
月内に
WindowsのAPIである'CreateFileW'を悪用し、ファイルへの排他的アクセスを強制的に確保することで、他のユーザーやアプリケーションからのアクセス…
📌 一言でいうと
WindowsのAPIである'CreateFileW'を悪用し、ファイルへの排他的アクセスを強制的に確保することで、他のユーザーやアプリケーションからのアクセスを遮断するPoCツール「GhostLock」が公開されました。この手法は、dwShareModeパラメータを0に設定することで実現され、ローカルファイルだけでなくSMBネットワーク共有上のファイルに対しても有効です。攻撃者がこの手法を用いると、正当なユーザーがファイルを開けなくなるなどの妨害行為が可能になります。
🔍該当判定
- Windows OSを搭載したPCやサーバーを利用している
- 社内サーバーの共有フォルダ(SMB共有)を業務で利用している
- 不特定多数がアクセス可能な共有フォルダに重要なファイルを保存している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
不審なプロセスの監視を強化し、ファイルアクセス権限の最小権限原則を徹底すること。また、EDR等のツールを用いて、異常なファイルハンドル保持や排他ロックの発生を検知する体制を構築することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Windows APIを悪用したファイルアクセス遮断手法(GhostLock)について
お疲れさまです。Windows APIを悪用した新しいファイルロック手法に関する情報共有です。
■ 概要
WindowsのCreateFileW APIにおいて、dwShareModeを0に設定することでファイルへの排他的アクセス権を確保し、他プロセスからのアクセスを完全に遮断するPoCツール「GhostLock」が公開されました。これにより、ローカルおよびSMB共有上のファイルがロックされ、正当なユーザーが利用不能になる可能性があります。
■ 影響範囲
- Windows OSを利用している環境全般
- SMBネットワーク共有を利用している環境
■ 対応手順
1. EDR等の監視ツールにて、不審なプロセスによる大量のファイルハンドル保持や、予期せぬファイルロックの発生を監視してください。
2. ネットワーク共有フォルダへのアクセス権限を再確認し、不要な書き込み・変更権限を制限してください。
■ 参考情報
- BleepingComputer 記事
対応優先度: 中
対応期限: 随時
お疲れさまです。Windows APIを悪用した新しいファイルロック手法に関する情報共有です。
■ 概要
WindowsのCreateFileW APIにおいて、dwShareModeを0に設定することでファイルへの排他的アクセス権を確保し、他プロセスからのアクセスを完全に遮断するPoCツール「GhostLock」が公開されました。これにより、ローカルおよびSMB共有上のファイルがロックされ、正当なユーザーが利用不能になる可能性があります。
■ 影響範囲
- Windows OSを利用している環境全般
- SMBネットワーク共有を利用している環境
■ 対応手順
1. EDR等の監視ツールにて、不審なプロセスによる大量のファイルハンドル保持や、予期せぬファイルロックの発生を監視してください。
2. ネットワーク共有フォルダへのアクセス権限を再確認し、不要な書き込み・変更権限を制限してください。
■ 参考情報
- BleepingComputer 記事
対応優先度: 中
対応期限: 随時
Subject: [Info] File Access Blocking Technique via Windows API (GhostLock)
Dear Team,
We are sharing information regarding a new technique to block file access using the Windows API.
■ Overview
A PoC tool named "GhostLock" has been released. It abuses the 'CreateFileW' API by setting the 'dwShareMode' parameter to 0, granting exclusive access to a file and preventing any other users or applications from opening it. This affects both local files and SMB network shares.
■ Scope
- All environments running Windows OS
- Environments utilizing SMB network shares
■ Recommended Actions
1. Enhance monitoring via EDR/SIEM for suspicious processes maintaining exclusive file handles.
2. Review and enforce the principle of least privilege for network share permissions.
■ Reference
- BleepingComputer Article
Priority: Medium
Deadline: Ongoing
Dear Team,
We are sharing information regarding a new technique to block file access using the Windows API.
■ Overview
A PoC tool named "GhostLock" has been released. It abuses the 'CreateFileW' API by setting the 'dwShareMode' parameter to 0, granting exclusive access to a file and preventing any other users or applications from opening it. This affects both local files and SMB network shares.
■ Scope
- All environments running Windows OS
- Environments utilizing SMB network shares
■ Recommended Actions
1. Enhance monitoring via EDR/SIEM for suspicious processes maintaining exclusive file handles.
2. Review and enforce the principle of least privilege for network share permissions.
■ Reference
- BleepingComputer Article
Priority: Medium
Deadline: Ongoing