CIA、共有フォルダから実行ファイルコピーでマルウェアに置き換えるツール

headless曰く、　WikiLeaksは1日、米中央情報局（CIA）のハッキングツールなどを公開するプロジェクト「Vault 7」で「Pandemic」と呼ばれるツールのドキュメントを公開した（WikiLeaks Vault 7、Ars Technica、Softpedia）。

　Pandemicは共有フォルダーをローカルネットワークで公開しているWindows PC（感染PC）に対し、ファイルシステムミニフィルタードライバーをインストールする。共有フォルダー内のファイルは一切変更されないが、対象のリモートユーザーが共有フォルダーから特定のPE実行ファイルをコピーまたは直接実行すると、マルウェアにオンザフライで置き換えることが可能になるという。

　対象のリモートユーザーはSIDで指定し、最大64ユーザーまで指定可能だ。Pandemic 1.0では置き換えるPE実行ファイルを1つのみ指定でき、置き換え後のPE実行ファイルのサイズは最大30MBに制限されているが、Pandemic 1.1では最大20ファイル、1ファイルあたりの最大サイズは800MBまで拡張されている。ファイルの置き換えを開始するまでの待機時間や、置き換えの実行時間を指定することもできる。指定した実行時間が経過するとドライバーは自動でアンインストールされるとのこと。

　なお、ドキュメントではインストールするバイナリーファイルの生成手順やインストール手順について解説されているが、具体的にどうやって感染PCにアクセスするのかといった点については記載されていない。セキュリティー企業Rendition InfoSecのマルウェア専門家で、米国家安全保障局（NSA）のハッキングチームに所属していたこともあるJake Williams氏は、さらに詳細なドキュメントがあるとの見方を示している。また、大きな組織ではWindowsの共有フォルダーを使用してファイルを共有することはあまりないことから、比較的小さな組織を狙って作られたものとWilliams氏はみているようだ。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | Windows | アメリカ合衆国

　関連ストーリー：
Microsoft、脆弱性情報をサイバー兵器として備蓄する政府を批判 2017年05月17日
WikiLeaksに情報を流した裏切り者を探すCIAとFBI 2017年04月28日
WikiLeaksがApple製品を攻撃するCIAのドキュメントを公開、Appleは何年も前にすべて修正済みだと声明 2017年03月25日