パスワードを忘れた? アカウント作成
13302864 story
Windows

特定ユーザーが共有フォルダから実行ファイルをコピーした場合のみマルウェアに置き換えるCIAのツール 5

ストーリー by hylom
官製マルウェア 部門より
headless曰く、

WikiLeaksは1日、米中央情報局(CIA)のハッキングツールなどを公開するプロジェクト「Vault 7」で「Pandemic」と呼ばれるツールのドキュメントを公開した(WikiLeaks Vault 7Ars TechnicaSoftpedia)。

Pandemicは共有フォルダーをローカルネットワークで公開しているWindows PC(感染PC)に対し、ファイルシステムミニフィルタードライバーをインストールする。共有フォルダー内のファイルは一切変更されないが、対象のリモートユーザーが共有フォルダーから特定のPE実行ファイルをコピーまたは直接実行すると、マルウェアにオンザフライで置き換えることが可能になるという。

対象のリモートユーザーはSIDで指定し、最大64ユーザーまで指定可能だ。Pandemic 1.0では置き換えるPE実行ファイルを1つのみ指定でき、置き換え後のPE実行ファイルのサイズは最大30MBに制限されているが、Pandemic 1.1では最大20ファイル、1ファイルあたりの最大サイズは800MBまで拡張されている。ファイルの置き換えを開始するまでの待機時間や、置き換えの実行時間を指定することもできる。指定した実行時間が経過するとドライバーは自動でアンインストールされるとのこと。

なお、ドキュメントではインストールするバイナリーファイルの生成手順やインストール手順について解説されているが、具体的にどうやって感染PCにアクセスするのかといった点については記載されていない。セキュリティー企業Rendition InfoSecのマルウェア専門家で、米国家安全保障局(NSA)のハッキングチームに所属していたこともあるJake Williams氏は、さらに詳細なドキュメントがあるとの見方を示している。また、大きな組織ではWindowsの共有フォルダーを使用してファイルを共有することはあまりないことから、比較的小さな組織を狙って作られたものとWilliams氏はみているようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年06月07日 17時25分 (#3223684)

    どうやってファイル共有してるん?

    • by Anonymous Coward

      ファイル共有を公開している側の OS が Windows であることが少ないってことかなぁ?
      プロトコルとしては Windows のファイル共有だし、クライアント側はWindows のファイル共有だけれども。
      NetApp の CIFS とかさ。

      OS がWindows じゃないやつを使えば「ファイルシステムミニフィルタードライバーをインストール」できない訳で。

      まあ大きな組織内の小さな部署内で野良共有フォルダがあるのは管理しきれない気がする。

      • by Anonymous Coward

        NAS使ったりなんですかね?
        割と最近は、Windows Storage Server使ってのケースも多い気がするんですが。

    • by Anonymous Coward

      FTP(S)

typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...