CIA、共有フォルダから実行ファイルコピーでマルウェアに置き換えるツール
2017年6月8日 07:34
headless曰く、 WikiLeaksは1日、米中央情報局(CIA)のハッキングツールなどを公開するプロジェクト「Vault 7」で「Pandemic」と呼ばれるツールのドキュメントを公開した(WikiLeaks Vault 7、Ars Technica、Softpedia)。
Pandemicは共有フォルダーをローカルネットワークで公開しているWindows PC(感染PC)に対し、ファイルシステムミニフィルタードライバーをインストールする。共有フォルダー内のファイルは一切変更されないが、対象のリモートユーザーが共有フォルダーから特定のPE実行ファイルをコピーまたは直接実行すると、マルウェアにオンザフライで置き換えることが可能になるという。
対象のリモートユーザーはSIDで指定し、最大64ユーザーまで指定可能だ。Pandemic 1.0では置き換えるPE実行ファイルを1つのみ指定でき、置き換え後のPE実行ファイルのサイズは最大30MBに制限されているが、Pandemic 1.1では最大20ファイル、1ファイルあたりの最大サイズは800MBまで拡張されている。ファイルの置き換えを開始するまでの待機時間や、置き換えの実行時間を指定することもできる。指定した実行時間が経過するとドライバーは自動でアンインストールされるとのこと。
なお、ドキュメントではインストールするバイナリーファイルの生成手順やインストール手順について解説されているが、具体的にどうやって感染PCにアクセスするのかといった点については記載されていない。セキュリティー企業Rendition InfoSecのマルウェア専門家で、米国家安全保障局(NSA)のハッキングチームに所属していたこともあるJake Williams氏は、さらに詳細なドキュメントがあるとの見方を示している。また、大きな組織ではWindowsの共有フォルダーを使用してファイルを共有することはあまりないことから、比較的小さな組織を狙って作られたものとWilliams氏はみているようだ。