Six Eight Consulting
Navigation öffnen
Kontakt
GhostLock Linux und SMB Lockout ohne Verschlüsselung: exklusive File Handles blockieren File Shares ohne Schreibzugriffe
Blog

GhostLock Linux: SMB-Lockout ohne Verschlüsselung erkennen

GhostLock Linux: Was Linux-/Samba-NAS, Windows File Server und SMB-Shares gegen Lockout ohne Verschlüsselung tun sollten.

Mika Schmidt, IT Security Experte

Mika Schmidt

IT Security Experte
Veröffentlicht: Aktualisiert: 9 Min. Lesezeit

GhostLock ist eine unangenehme Erinnerung daran, dass Verfügbarkeit nicht erst durch Verschlüsselung verloren geht. Die Forschung beschreibt einen Lockout-Angriff gegen SMB-basierte Dateiablagen: Ein normaler Domain-User mit Zugriff auf eine Freigabe öffnet Dateien oder Verzeichnisse exklusiv. Andere Clients scheitern anschließend mit Sharing-Violations. Aus Sicht der Fachabteilung fühlt sich das an wie Ransomware, nur ohne verschlüsselte Dateien.

Wer nach GhostLock Linux sucht, sollte das Thema nicht als klassische Linux-Malware oder Kernel-Lücke verstehen. Relevanter sind Linux-Fileserver, Samba-basierte NAS und Appliances, die Windows-Clients per SMB bedienen. Dort entscheidet die operative Sichtbarkeit auf Sessions, offene Dateien und Locks darüber, ob ein Lockout schnell beendet werden kann.

Der wichtige Unterschied: GhostLock ist nach aktueller Einordnung keine klassische Software-Schwachstelle. Es gibt keine CVE, keinen Vendor-Patch, keine kompromittierte Bibliothek. Der Kern ist dokumentiertes Verhalten rund um CreateFileW, dwShareMode und SMB2 CREATE-Requests. Genau deshalb kann man das Thema nicht einfach wegpatchen, sondern muss Datei-Server-Betrieb, Rechte und Incident Response sauberer machen.

Was GhostLock macht

GhostLock nutzt legitime Windows- und SMB-Datei-Handles, um Dateien oder Verzeichnisse exklusiv offen zu halten. Bei CreateFileW mit dwShareMode = 0 kann eine Datei nicht erneut geöffnet werden, bis der Handle geschlossen ist. Microsoft dokumentiert dieses Verhalten ausdrücklich.

GhostLock kann mit einem normalen Domain-User und Leserechten auf SMB-Shares Dateien sperren, ohne Dateien zu schreiben, umzubenennen oder zu verschlüsseln. Das macht klassische Ransomware-Detektion schwierig, weil viele Tools auf Massen-Schreibzugriffe, Dateiumbenennungen oder Verschlüsselungsmuster achten.

Mechanismus

Voraussetzung
Authentifizierter Benutzer mit Zugriff auf die SMB-Freigabe.
Technik
Exklusive Handles über dwShareMode = 0 beziehungsweise Deny-Share-Semantik.
Impact
Dateien oder Verzeichnisse wirken für andere Nutzer gesperrt, obwohl sie nicht verändert wurden.
Primäre Spur
Auffällig viele offene Dateien, Locks oder exklusive Handles pro SMB-Session auf File-Server- oder Storage-Ebene.

GhostLock Linux: Samba, NAS und SMB-Shares

GhostLock Linux ist vor allem ein Betriebs- und Monitoring-Thema. Der öffentlich beschriebene Mechanismus bezieht sich auf SMB-Deny-Share-Handles und Windows-/SMB-Semantik, nicht auf eine Linux-Kernel-Lücke. Trotzdem sind Linux-Fileserver relevant, wenn sie über Samba SMB-Shares bereitstellen oder wenn NAS-Appliances intern auf Samba-ähnliche SMB-Dienste setzen.

Für Verteidiger ist die wichtigste Frage nicht: „Ist Linux verwundbar?”, sondern: „Kann mein Linux-/Samba-Storage schnell zeigen, welcher User, Client und Prozess auffällig viele offene Dateien oder Locks hält?” Samba stellt mit smbstatus Informationen zu aktuellen Verbindungen, Shares und Locks bereit; je nach Version ist auch eine JSON-Ausgabe für SIEM- oder Automations-Pipelines verfügbar.

Die Abwehrlogik bleibt dadurch ähnlich wie auf Windows File Servern: ungewöhnliche SMB-Sessions erkennen, die blockierende Session oder den betroffenen Client zuordnen, kontrolliert trennen und anschließend Account sowie Endpoint behandeln. Pauschale Änderungen an Locking-Parametern in smb.conf sind keine saubere Sofortmaßnahme, weil sie legitime Anwendungen und Datenkonsistenz beeinflussen können.

Warum das kritisch ist

Viele Ransomware-Abwehrmaßnahmen starten bei Schreibmustern: hohe Änderungsrate, neue Dateiendungen, ungewöhnliche Entropie, Massen-Renames, verdächtige Prozesse oder bekannte Verschlüsselungslogik. GhostLock umgeht diese Denkrichtung, weil der Datenbestand unverändert bleibt. Die Datei ist nicht kaputt. Sie ist nur für die Dauer der Session nicht sinnvoll nutzbar.

In Unternehmen reicht das für echten Schaden. Wenn ERP-Exporte, Konstruktionsdaten, Vertragsablagen, Scanner-Workflows, Buchhaltungsläufe oder Teamshares plötzlich Sharing-Violations werfen, steht der Prozess. Backups helfen in diesem Moment nur begrenzt, weil es nichts zu entschlüsseln gibt. Die operative Aufgabe ist nicht Restore, sondern Identifikation und Beenden der richtigen SMB-Session.

Priorisierung nach Umgebung

UmgebungWarum relevant?Priorität
Linux-/Samba-FileserverSMB-Shares auf Linux sind relevant, wenn offene Dateien, Locks und Sessions nicht schnell genug sichtbar sind.Sehr hoch
Enterprise NASViele Nutzer, viele Dateien und oft historisch breite Leserechte.Sehr hoch
DFS-NamespacesEin logischer Einstieg kann viele physische Ablagen erreichbar machen.Sehr hoch
ERP- und DMS-SharesFachanwendungen reagieren empfindlich auf gesperrte Dateien und Verzeichnisse.Hoch
Cloud-SMB-DiensteDas Verhalten ist nicht vendor-spezifisch, sofern SMB-Semantik korrekt umgesetzt wird.Hoch
Kleine File ServerKleinere Reichweite, aber oft weniger geübte Storage-IR.Mittel bis hoch

Keine CVE, kein Patch: was das bedeutet

„Kein Patch” klingt schnell nach Hilflosigkeit, ist aber präziser: Die zugrunde liegende Funktion ist kein Bug, sondern Teil des Datei-Konsistenzmodells. Anwendungen wie Office, Datenbanken, Synchronisations-Tools oder Backup-Software nutzen exklusive oder restriktive Opens aus legitimen Gründen. Eine pauschale Blockade würde produktive Abläufe brechen.

Verteidigung verschiebt sich dadurch von „Patch installieren” zu „Betriebsmodell härten”. Dazu gehören Least Privilege auf Shares, getrennte Abteilungsbereiche, kurze Reaktionswege zu Storage-Admins, verwertbare Telemetrie aus NAS- und File-Server-Management sowie klare Regeln, wann eine Session beendet werden darf.

Sofortmaßnahmen bei Verdacht

Triage und Recovery

  1. 1

    SMB-Sessions prüfen

    Auf Windows File Servern aktive Sessions nach vielen offenen Handles sortieren; auf Samba/NAS entsprechende Session- und Lock-Ansichten nutzen.

  2. 2

    Offene Dateien zuordnen

    Session, Client, Benutzer, Share und betroffene Pfade korrelieren, bevor eine produktive Session beendet wird.

  3. 3

    Verdächtige Session beenden

    Session oder einzelne offene Dateien gezielt schließen. Forciertes Schließen kann legitime Arbeit stören und sollte bewusst entschieden werden.

  4. 4

    Angriffsclient isolieren

    Client aus dem Netz nehmen, verwendetes Konto behandeln und prüfen, ob dieselbe Userkennung auf mehreren Clients aktiv ist.

Windows File Server: Sessions und Handles prüfen

Auf einem Windows File Server sollten Administratoren zuerst aktive SMB-Sessions nach vielen offenen Handles sortieren. Get-SmbSession zeigt aktive SMB-Sessions inklusive Client, Benutzer und NumOpens. Danach lassen sich offene Dateien nach Session gruppieren und auffällige Sessions im Detail untersuchen.

powershell ghostlock-smb-triage.ps1 
# 1. Sessions mit vielen offenen Handles zuerst ansehen
Get-SmbSession |
  Sort-Object NumOpens -Descending |
  Select-Object -First 20 SessionId, ClientComputerName, ClientUserName, NumOpens, SecondsExists, SecondsIdle

# 2. Offene Dateien nach Session gruppieren
Get-SmbOpenFile |
  Group-Object SessionId |
  Sort-Object Count -Descending |
  Select-Object Count, Name

# 3. Details einer auffälligen Session prüfen
Get-SmbOpenFile -SessionId <SESSION_ID> |
  Select-Object FileId, SessionId, ClientComputerName, ClientUserName, ShareRelativePath
Windows File Server: Sessions mit vielen offenen Handles und zugehörige Dateien prüfen.

Linux-/Samba-Server: Locks sichtbar machen

Auf Linux-Fileservern mit Samba ist smbstatus der erste Schnellcheck. Je nach Samba-Version lassen sich Prozesse, Shares und Locks getrennt oder als JSON erfassen. Wichtig ist die Korrelation: welcher User, welcher Client, welcher Share und welche offenen Dateien gehören zu einer auffälligen SMB-Session?

bash ghostlock-samba-triage.sh 
# Aktuelle Samba-Verbindungen, Shares und Locks prüfen
sudo smbstatus --json

# Falls JSON nicht verfügbar oder für schnelle Sichtprüfung
sudo smbstatus -p
sudo smbstatus -S
sudo smbstatus -L

# Auffällige Clients/User anschließend über NAS-, SIEM- oder Samba-Logs korrelieren
Samba: Verbindungen, Shares und Locks prüfen.

Verdächtige Session beenden

Wenn Session, Client und User plausibel zugeordnet sind, kann die Session gezielt geschlossen werden. Alternativ lassen sich nur die offenen Dateien dieser Session schließen. Das ist ein Eingriff in laufende Arbeit: Bei legitimen Clients kann forciertes Schließen Datenverlust verursachen, wenn Änderungen noch nicht zum Server geschrieben wurden.

powershell ghostlock-smb-recovery.ps1 
# Verdächtige SMB-Session beenden
Close-SmbSession -SessionId <SESSION_ID> -Force

# Oder nur die offenen Dateien dieser Session schließen
Close-SmbOpenFile -SessionId <SESSION_ID> -Force
Windows File Server: verdächtige Session oder offene Dateien schließen.

Angriffsclient sofort isolieren

Sobald ClientComputerName oder IP klar ist, sollte der Client aus dem Netz genommen und das verwendete Konto behandelt werden. Nur das Passwort zu ändern reicht nicht immer sofort: Bestehende SMB-Sessions können nach Credential-Revocation weiterbestehen, bis sie explizit beendet oder durch Timeout geschlossen werden.

  • Host im EDR isolieren oder Switch-Port/VPN-Session trennen.
  • SMB-Zugriff dieses Clients temporär blockieren.
  • Betroffenen Domain-User deaktivieren oder Passwort zurücksetzen.
  • Kerberos-/AD-Sessions, VPN-Sessions und ggf. Cloud-Sessions widerrufen.
  • Prüfen, ob mehrere Clients dieselbe Userkennung verwenden.

Wann ein Server-Restart sinnvoll ist

Ein Restart des Fileservers oder NAS-SMB-Dienstes ist sinnvoll, wenn die verdächtige Session nicht schnell identifiziert werden kann, der Storage keine Session-/Open-File-Verwaltung anbietet, sehr viele Shares gleichzeitig betroffen sind oder der Business-Impact größer ist als der Reboot-Impact.

Aber: Reboot ist grob. Er trennt alle legitimen Nutzer, kann ungesicherte Daten verlieren und löst nicht die Ursache. Wenn der kompromittierte Client danach noch Zugriff hat, können Locks wieder aufgebaut werden. BleepingComputer berichtet ebenfalls, dass Handles nach Session-Ende, Prozessende oder Reboot verschwinden, der Angriff aber erneut gestartet werden kann.

Dauerhafte Gegenmaßnahmen

GhostLock ist ein Rechte-, Telemetrie- und Betriebsproblem. Read-only verhindert GhostLock nicht automatisch, weil Leserechte reichen können. Es senkt aber den Blast Radius, wenn Nutzer nur die Shares lesen können, die sie wirklich brauchen.

Dauerhafte Härtung

  1. 1

    Runbook bauen

    SecOps und StorageOps brauchen einen festen Ablauf: Symptome erkennen, Session/User/IP finden, Session schließen, Client isolieren, Konto behandeln und Forensik starten.

  2. 2

    Auf auffällige SMB-Sessions alarmieren

    Praktischer Startwert sind Sessions mit ungewöhnlich vielen offenen Dateien oder Handles, etwa NumOpens stark über Baseline.

  3. 3

    Rechte reduzieren

    Least Privilege auf Share- und NTFS-Ebene prüfen. User sollten nur die Freigaben sehen und lesen können, die sie wirklich benötigen.

  4. 4

    SMB-Zugriff segmentieren

    SMB nur von verwalteten Clients oder VPNs erlauben, flache Netze vermeiden und unnötige SMB-Routen zwischen Abteilungen entfernen.

  5. 5

    Applikationskontrolle auf Clients nutzen

    Nicht autorisierte Python-Interpreter, Skripte und unbekannte Tools blockieren oder zumindest alerten.

  6. 6

    Storage-Telemetrie ins SIEM bringen

    Ziel sind offene Files/Sessions, Client-IP, User, Share, Open-Count, Session-Dauer und falls verfügbar ShareAccess- oder exclusive-handle-Informationen.

  7. 7

    Backups und Snapshots behalten

    GhostLock verändert zwar keine Dateien, kann aber als Ablenkung für Exfiltration oder laterale Bewegung dienen.

Für Red Teams und interne Security-Tests gilt: GhostLock ist ein Availability-Test. Das gehört ausdrücklich in den Scope, idealerweise mit schriftlicher Freigabe, Testfenster, Nicht-Produktionsfreigabe und abgestimmtem Recovery-Plan. Das öffentliche Repository enthält Safety-Hinweise und ist für autorisierte Forschung gedacht, nicht für Experimente auf fremden oder produktionskritischen Shares.

Empfohlene Priorität

ZeitpunktMaßnahme
JetztSMB-Sessions prüfen, Top-NumOpens finden und verdächtige Session kontrolliert schließen.
Wenn das nicht klapptSMB-Dienst oder Server/NAS kontrolliert neu starten und den Impact bewusst gegen Datenverlust- und Betriebsrisiko abwägen.
Direkt danachClient isolieren, Konto deaktivieren oder resetten, Logs sichern und prüfen, ob derselbe Account mehrere Clients nutzt.
Diese WocheMonitoring auf SMB-Session-/Open-File-Anomalien und ein gemeinsames SecOps/StorageOps-Runbook einführen.

FAQ zu GhostLock

Was ist GhostLock?
GhostLock beschreibt eine Availability-Technik gegen SMB-basierte File Shares. Ein authentifizierter Benutzer hält Dateien oder Verzeichnisse über exklusive Deny-Share-Handles offen. Andere Clients erhalten Sharing-Violations, obwohl keine Datei verschlüsselt, umbenannt oder überschrieben wird.
Gibt es eine CVE oder einen Patch?
Nach der GhostLock-Veröffentlichung gibt es keine CVE und keinen klassischen Patch. Das Verhalten basiert auf dokumentierter Windows- und SMB-Semantik und wird von legitimen Anwendungen benötigt. Abwehr bedeutet deshalb Monitoring, Rechtebegrenzung und schnelle Session-Reaktion.
Welche Umgebungen sind besonders betroffen?
Relevant sind SMB-Freigaben auf Windows File Servern, Linux-/Samba-Fileservern, Enterprise-NAS, DFS-Namespaces, Abteilungs- und Home-Laufwerken, ERP-Dokumentablagen sowie Cloud-Dateidiensten mit SMB-Endpunkt. Kritisch wird es, wenn viele Nutzer breite Lese- oder Traversal-Rechte besitzen.
Ist GhostLock Linux relevant?
Ja, aber nicht als Linux-Kernel-Schwachstelle. Mit GhostLock Linux ist praktisch die Frage gemeint, wie Linux-Fileserver, Samba-basierte NAS und Appliances SMB-Sessions, offene Dateien und Locks sichtbar machen und wie Admins blockierende Sessions schnell beenden.
Warum erkennt EDR GhostLock nicht wie Ransomware?
Klassische Ransomware-Erkennung sucht oft nach Massenschreibvorgängen, Dateiumbenennungen, Entropieänderungen oder Verschlüsselungsmustern. GhostLock erzeugt diese Signale nicht. Der belastbarere Blick liegt am File Server: Sessions, offene Handles und ShareAccess-Verhalten.
Wie stellt man den Zugriff wieder her?
In der Regel müssen Storage- oder Windows-Admins die verursachende SMB-Session beziehungsweise offene Handles identifizieren und beenden. Nur das Passwort zurückzusetzen reicht nicht immer sofort, weil bestehende Sessions weiterleben können.

Themen

GhostLockGhostLock LinuxSMB SecurityLinux SecuritySambaRansomwareWindows SecurityIncident ResponseNAS SecurityFile ServerDetection Engineering

Quellen

  1. GhostLock: Lockout Without EncryptionKim Dvash / GhostLock Research, zentrale Primärquelle
  2. Whitepaper: GhostLock SMB Deny-Share HandlesZenodo Preprint, veröffentlicht am 7. Mai 2026, DOI 10.5281/zenodo.20070064
  3. GitHub: kimd155/GhostLockOpen-Source Proof-of-Concept für autorisierte Forschung und Red-Team-Tests
  4. BleepingComputer: New GhostLock tool abuses Windows APIBleepingComputer / Lawrence Abrams, 11. Mai 2026
  5. Microsoft Learn: CreateFileW functionDokumentation zu dwShareMode und exklusivem Dateiöffnen
  6. Microsoft Open Specifications: SMB2 CREATE RequestSMB2 CREATE Request und Felder für Datei-/Verzeichnis-Öffnungen
  7. Microsoft Learn: Get-SmbOpenFileOffene Dateien auf SMB-Servern abfragen
  8. Microsoft Learn: Get-SmbSessionSMB-Sessions inklusive Client, Benutzer und NumOpens abfragen
  9. Microsoft Learn: Close-SmbOpenFileOffene SMB-Dateihandles gezielt schließen
  10. Microsoft Learn: Close-SmbSessionSMB-Sessions auf dem Server beenden
  11. Samba: smbstatusAktuelle Verbindungen, Shares, Locks und JSON-Ausgabe prüfen
  12. Samba: smb.confLocking, strict locking, kernel share modes und SMB-Verhalten