パンデミックは、ファイルサーバを経由して企業ネットワークを感染させるために使用されます。

2週間の沈黙後に、ウィキリークスポータルはCIAの別のハッカーツールを発表しました。パンデミックマルウェアは、共有フォルダがあるコンピュータに侵入するように設計されテいて、そこからユーザーがSMBプロトコルを使用してファイルをダウンロードします。パンデミックは、他のマルウェアとは異なり、珍しく、オリジナルの原則に則って、動作します。

ウィキリークスによって、公表された説明内容によると、プログラムは次のようにターゲットシステムに「ファイルシステムのフィルタドライバ」がインストールされます。その動作は、SMBトラフィックや感染したコンピュータからユーザーが共有ファイルをダウンロードする試みを盗聴することです。パンデミックは、ダウンロードの要求を取得し、感染したシステム名で応答し、正当なファイルの代わりに、感染したファイルを送付します。

説明を信じるなら、我々はシングルパスプログラムの1命令で、1ファイルの最大サイズ800メガバイト、20個のファイル（32ビットおよび64ビット）までを置き換えることが可能です。パンデミックのインストールはわずか15秒で完了します。このツールは、企業ネットワークの共有フォルダに格納されている実行ファイルを置き換えるために特別に設計されています。パンデミックの狙いは、企業のファイル共有サーバを感染させ、従業員のコンピュータ上に悪質なソフトウェアをインストールすることです。いつマルウェアがネットワークに侵入したかや感染源や最初に感染したシステムの特定は、非常に困難です。これは、ローカルユーザーが手動で共有ファイルの1つへのアクセス権を得たり、SMB経由で転送される悪意のあるファイルではなく、クリーンなファイルを実行する時、ファイルシステムドライバパンデミックが検出されることに起因しています。このように、感染したデバイスを検出するために、システム管理者は、SMB上の他のコンピュータとファイルをダウンロードしてスキャンする必要があります。

記事提供元: http://www.securitylab.ru

翻訳: Kazunori Yoshida