DoSとしては効果があるけど、金を取れるかというと無理な気がする
NT 3.1からの仕様が悪用可能とか骨董品レベルの負債が今更火を噴くの怖すぎる。書き換えなしで業務不能にするとか、EDRの隙を突く発想がえぐいわ
まあ、とりあえずネットワークから切り離して再起動すれば復旧はするだろうからなあ
この記事に限らず「SMB での共有」という文脈で語られているけど、CreateFileW の引数で dwShareMode を 0 にしてファイルを開く話で、ローカルでのファイルアクセスも同じだよなぁ。
なんとそんな仕様が…。なんで書き込み権限を持ってない人が共有ロックできるようにしようと思ったんでしょう。当時はそこまで考えてなかったんですかね
「排他的アクセス」方法論は分かる。アクセス権がある範囲での攻撃になるが、そこは権限昇格とか使うのか。最大の利点はステルス性と展開の速さ。ファイルハンドル作るだけで終わりだから超速いな。
ファイルを書き換えずにランサムウェアのような攻撃を行う手法が発見される。概念実証の「GhostLock」をセキュリティ研究者が発表 Windows NT 3.1から存在しているSMBの仕様を悪用
DoSとしては効果があるけど、金を取れるかというと無理な気がする
NT 3.1からの仕様が悪用可能とか骨董品レベルの負債が今更火を噴くの怖すぎる。書き換えなしで業務不能にするとか、EDRの隙を突く発想がえぐいわ
まあ、とりあえずネットワークから切り離して再起動すれば復旧はするだろうからなあ
この記事に限らず「SMB での共有」という文脈で語られているけど、CreateFileW の引数で dwShareMode を 0 にしてファイルを開く話で、ローカルでのファイルアクセスも同じだよなぁ。
なんとそんな仕様が…。なんで書き込み権限を持ってない人が共有ロックできるようにしようと思ったんでしょう。当時はそこまで考えてなかったんですかね
「排他的アクセス」方法論は分かる。アクセス権がある範囲での攻撃になるが、そこは権限昇格とか使うのか。最大の利点はステルス性と展開の速さ。ファイルハンドル作るだけで終わりだから超速いな。