CIA、共有フォルダから実行ファイルコピーでマルウェアに置き換えるツール

2017年6月8日 07:34

小

中

大

印刷

記事提供元:スラド

headless曰く、 WikiLeaksは1日、米中央情報局(CIA)のハッキングツールなどを公開するプロジェクト「Vault 7」で「Pandemic」と呼ばれるツールのドキュメントを公開した(WikiLeaks Vault 7Ars TechnicaSoftpedia)。

 Pandemicは共有フォルダーをローカルネットワークで公開しているWindows PC(感染PC)に対し、ファイルシステムミニフィルタードライバーをインストールする。共有フォルダー内のファイルは一切変更されないが、対象のリモートユーザーが共有フォルダーから特定のPE実行ファイルをコピーまたは直接実行すると、マルウェアにオンザフライで置き換えることが可能になるという。

 対象のリモートユーザーはSIDで指定し、最大64ユーザーまで指定可能だ。Pandemic 1.0では置き換えるPE実行ファイルを1つのみ指定でき、置き換え後のPE実行ファイルのサイズは最大30MBに制限されているが、Pandemic 1.1では最大20ファイル、1ファイルあたりの最大サイズは800MBまで拡張されている。ファイルの置き換えを開始するまでの待機時間や、置き換えの実行時間を指定することもできる。指定した実行時間が経過するとドライバーは自動でアンインストールされるとのこと。

 なお、ドキュメントではインストールするバイナリーファイルの生成手順やインストール手順について解説されているが、具体的にどうやって感染PCにアクセスするのかといった点については記載されていない。セキュリティー企業Rendition InfoSecのマルウェア専門家で、米国家安全保障局(NSA)のハッキングチームに所属していたこともあるJake Williams氏は、さらに詳細なドキュメントがあるとの見方を示している。また、大きな組織ではWindowsの共有フォルダーを使用してファイルを共有することはあまりないことから、比較的小さな組織を狙って作られたものとWilliams氏はみているようだ。

 スラドのコメントを読む | セキュリティセクション | セキュリティ | Windows | アメリカ合衆国

 関連ストーリー:
Microsoft、脆弱性情報をサイバー兵器として備蓄する政府を批判 2017年05月17日
WikiLeaksに情報を流した裏切り者を探すCIAとFBI 2017年04月28日
WikiLeaksがApple製品を攻撃するCIAのドキュメントを公開、Appleは何年も前にすべて修正済みだと声明 2017年03月25日

※この記事はスラドから提供を受けて配信しています。

関連キーワードマルウェア安全保障セキュリティハッキング米国家安全保障局(NSA)CIA

「セキュリティ・プライバシー」の写真ニュース

IT・サイエンスの最新ニュース

RSS

もっと見る

主要ニュース

RSS

もっと見る

広告

広告

SNSツール

RSS

facebook

zaikeishimbun

いいね!

twitter

@zaikei_it

フォロー

google+

Hatena

広告

ピックアップ 注目ニュース