.png)
Selama bertahun-tahun, hampir seluruh strategi pertahanan ransomware dibangun di atas pola yang sama: deteksi enkripsi massal, perubahan ekstensi file, aktivitas write abnormal, atau komunikasi command-and-control. Teknik ini tidak mengenkripsi file, tidak mengubah isi data, dan bahkan tidak memerlukan privilege administrator. Namun dari sisi korban, dampaknya tetap seperti ransomware karena file bisnis menjadi tidak dapat diakses.
GhostLock memanfaatkan perilaku bawaan Windows melalui API "CreateFileW()", khususnya parameter "dwShareMode". Dalam operasi normal, parameter ini menentukan apakah proses lain boleh membuka file yang sama untuk read, write, atau delete. Ketika nilai "dwShareMode "diatur menjadi 0, Windows memberikan akses eksklusif kepada proses yang pertama kali membuka file tersebut. Selama handle masih aktif, proses lain yang mencoba membuka file akan menerima "STATUS_SHARING_VIOLATION".
Secara teknis, ini bukan vulnerability maupun bug. Windows memang dirancang bekerja seperti itu sejak lama. Justru di sinilah masalahnya. Karena perilaku tersebut dianggap valid oleh sistem operasi, hampir seluruh mekanisme keamanan modern melihat aktivitas GhostLock sebagai operasi file biasa.
Sederhananya, attacker hanya perlu membuka file menggunakan mode eksklusif dan mempertahankan handle tetap aktif. Tidak ada proses enkripsi. Tidak ada overwrite file. Tidak ada perubahan hash. File tetap utuh di disk, tetapi seluruh aplikasi lain kehilangan akses terhadapnya.
Dampaknya menjadi jauh lebih serius ketika teknik ini diarahkan ke SMB share dalam lingkungan enterprise. Banyak organisasi menyimpan ERP, dokumen keuangan, project engineering, atau database operasional di network share yang diakses banyak user sekaligus. Jika ribuan file dibuka dengan "ShareAccess = 0", workflow bisnis dapat berhenti total walaupun tidak ada satu byte pun yang dirusak.
Baca Juga Tentang: SMB - Lateral Movement
Yang membuat GhostLock menarik dari sudut offensive security adalah rendahnya kebutuhan privilege. Teknik ini dapat dijalankan hanya dengan hak baca standar terhadap SMB share. Tidak diperlukan administrator domain, kernel exploit, maupun bypass keamanan tambahan. Selama user memiliki izin membuka file, user tersebut dapat mengunci akses file bagi pengguna lain.
Ini mengubah paradigma availability attack. Biasanya serangan availability membutuhkan:
- enkripsi ransomware,
- destructive wiper,
- atau resource exhaustion.
GhostLock tidak melakukan semuanya tapihanya mengeksploitasi mekanisme locking yang memang sah di Windows.
Dalam skenario realistis, attacker yang sudah memperoleh foothold melalui phishing dapat menggunakan akun domain biasa untuk menjalankan GhostLock pada file server internal. Ketika tim IT sibuk menangani gangguan akses dokumen dan aplikasi bisnis yang gagal membuka file, attacker sebenarnya dapat menggunakan kekacauan tersebut sebagai distraksi untuk melakukan lateral movement atau exfiltration di sistem lain.
GhostLock lebih berbahaya sebagai operational decoy dibanding senjata penghancur utama. Gangguan akses file menciptakan tekanan besar pada administrator karena dampaknya langsung berdampak ke operasional bisnis. Banyak tim incident response akan fokus pada server storage terlebih dahulu, sementara aktivitas kompromi lain berjalan diam-diam di belakangnya.
Baca Juga Tentang:
Ada detail teknis lain yang cukup penting. Sebagian besar EDR modern memonitor:
- mass file modification,
- suspicious encryption pattern,
- rename operation,
- atau proses write abnormal.
GhostLock hampir tidak menghasilkan telemetry tersebut karena prosesnya hanya membuka file secara legal menggunakan API bawaan Windows. Dari perspektif EDR, operasi ini terlihat seperti aplikasi biasa yang sedang membaca file.
Inilah alasan mengapa teknik ini sulit dideteksi menggunakan pendekatan behavioral ransomware konvensional. Satu-satunya indikator yang benar-benar konsisten justru berada di layer file server, yaitu lonjakan open-file handle dengan "ShareAccess = 0".
Masalahnya, metrik seperti ini jarang dikirim ke SIEM enterprise. Banyak organisasi bahkan tidak memonitor statistik handle SMB secara detail karena selama ini dianggap hanya data operasional storage, bukan indikator serangan.
Baca Juga Tentang: Teknis fast16 - SMB
Dari sudut pandang pentester atau red team, GhostLock menunjukkan bahwa availability attack tidak selalu membutuhkan eksploitasi kompleks. Terkadang fitur sistem operasi yang sah dapat memberikan dampak operasional yang sama besar dengan ransomware tanpa memicu alarm keamanan modern.
Teknik ini menjadi pengingat bahwa deteksi berbasis malicious behavior stereotype memiliki blind spot besar. Banyak organisasi terlalu fokus pada pola ransomware klasik hingga lupa bahwa denial-of-access juga bisa dicapai melalui mekanisme legitimate operating system.
Mitigasi terhadap GhostLock tidak sesederhana memasang patch karena tidak ada CVE yang diperbaiki. Pendekatan yang lebih relevan adalah monitoring SMB session behavior, terutama:
- jumlah open handle abnormal,
- handle dengan "ShareAccess = 0",
- dan pola locking massal dari satu user atau endpoint.
Selain itu, pembatasan akses SMB berbasis least privilege menjadi semakin penting. Banyak lingkungan enterprise memberikan read access terlalu luas terhadap network share internal. Dalam konteks GhostLock, akses baca saja sudah cukup untuk menghasilkan gangguan operasional besar.
GhostLock memperlihatkan sesuatu yang cukup menarik dalam dunia keamanan modern: tidak semua serangan membutuhkan malware canggih atau eksploitasi kernel. Kombinasi kecil antara fitur sistem operasi dan asumsi keamanan yang salah sudah cukup untuk melumpuhkan operasional organisasi tanpa meninggalkan jejak yang biasanya dicari oleh sistem pertahanan modern.
Benediktus Sava – Security Researcher
Sumber:
