E安全6月4日訊 維基解密於6月1日（本週四）公佈了CIA專門針對Window系統， 屬於CIA Vault7項目代號為“Pandemic”的5個技術文檔。這次披露的文檔創建於2014年1月到2014年4月之間，且先後推出了1.0與1.1兩個版本。

此次Pandemic的洩露資料並未提及CIA到底使用了怎樣的初始感染載體，相關文檔中將其描述為一種Windows持久性植入程序，可以與本地網絡中的遠程用戶共享文件（程序）。Pandemic是網絡間諜通過即時將受感染服務器中的應用程序代碼替換為有木馬的版本，從而感染遠程用戶的項目。

植入植入將具有共享驅動的本地網絡電腦轉變為一個惡意軟件分發中心, 所有訪問它的PC都會被感染。這就類似醫學上患了傳染病的感染源。在同一個本地網絡當中，如果有共享驅動器的計算機感染了Pandemic的植入程序，一旦用戶執行了服務器中存儲的病毒文件，就會感染遠程計算機。

受害者請求文件時，Pandemic工具不會更改系統中的文件，而是用一個木馬替換合法程序。該工具最多可以替換20個程序，最大佔用800MB的空間，且植入僅需10至15秒。而Pandemic的攻擊目標為使用SMB(Server Message Block)遠程協議的用戶。

本文系E安全獨家編譯報道

自今年3月23號以來，維基解密每週五都在陸續發佈各類CIA內部文件，並將其作為“Vault 7”曝光內容的一部分——然而，上週其曝光活動卻意外中止。截至目前，維基解密已經公佈了用於入侵三星智能電視的惡意軟件、MitM工具、一套用於提升惡意軟件歸因與分析難度的框架以及一款用於創建定製化惡意軟件安裝器的平臺等等。

維基解密在推遲上週曝光行動的同時，恰逢俄羅斯政府再次否認其曾對2016年美國總統大選作出干涉——這種“巧合”使得部分情報界成員認定，維基解密的作法可能是在服務於其它一些目的，而非單純是在揭露CIA的活動。

在此期間，影子經紀人組織也起到了煽風點火的作用——其不僅向維基解密提供了針對主流網絡瀏覽器、移動手機以及Windows 10計算機的國安局漏洞信息，同時還竊取到了據稱來自中國、伊朗、俄羅斯與朝鮮的月度核武器與導彈數據信息。

影子經紀人組織已經披露了大量與Windows系統相關的漏洞信息，而其中最為嚴重的後果在於其4月公佈的“永恆之藍”漏洞（為已經於3月被微軟方面修復的SMB漏洞）在3周之前被勒索軟件WannaCry所利用，並在全球範圍內引發極為重大的影響與損失。

維基解密過去幾個月披露的CIA Vault 7內部文件如下：

• 2017年6月1日-Pandemic：用於在本地網絡中植入感染源。

• 2017年5月19日-Athena ：Assassin是一款與AfterMidnight類似的惡意軟件。

• 2017年5月12日-AfterMidnight ：CIA用來創建針對Windows的自定義惡意軟件框架。

• 2017年5月5日-Archimedes ：CIA針對LAN網計算機的工具。

• 2017年4月28日-Scribbles ：用於文件追蹤。

• 2017年4月21日-Weeping Angel：CIA使用這種技術來滲透智能電視。

• 2017年4月14日-Hive：多平臺入侵植入和管理控制工具。

• 2017年4月7日-Grasshopper ：揭露了CIA入侵Windows和繞過反病毒保護的自定義惡意軟件框架。

• 2017年3月31日-Marble Framework：CIA用來隱藏網絡攻擊歸因的框架。

• 2017年3月23日-Dark Matter：包含iPhone和Mac黑客漏洞利用工具。

相關閱讀：

維基解密再爆CIA MitM攻擊【工具】

CIA Vault7洩露文檔第五波：多平臺入侵植入和管理控制工具HIVE

CIA Vault 7第四波：蝗蟲來襲，微軟Windows寸草不生【附下載】

維基解密發佈CIA所使用的MacBook與iPhone入侵工具包

維基解密洩露“Vault 7”文件 揭祕CIA黑客工具

Pandemic介紹

Pandemic是一個以內核shellcode運行安裝文件系統過濾器驅動程序的工具。當遠程用戶通過SMB(Server Message Block)遠程協議獲取文件時，過濾器就會自動用木馬替換目標文件。而Pandemic工具運行的機器在打開文件時，目標文件不會被替換。Pandemic工具的攻擊目標是遠程使用SMB下載或執行PE文件的用戶。

Pandemic工具目前可以在32位或者64位的系統中執行。流行病植入1.0版本僅適用於64位機器。而流行病植入1.1版本增加了定位和替換多個文件的功能，最多可達20個文件。此外，流行病植入1.1版本將動態調整輸出bin文件的大小，以適合加載所有載荷數據，因此對於輸出bin的大小沒有絕對上限。

然而目前該工具硬編碼了替換文件大小的上限，上限為800MB。大流行植入1.1版本的改變提高了替換機制的魯棒性。

(1)文件註冊表訪問

Pandemic工具使用Windows的Flt *功能註冊一個微型驅動程序。因此，FltMgr要求所有註冊為微型計算機的驅動程序都包含註冊表項。Pandemic工具使用“NULL”服務鍵值（在所有Windows系統上）作為自己的驅動程序服務鍵。該工具將在註冊表中的“NULL”服務鍵下創建2個子鍵和3個值。在工具卸載時，這些鍵值會被移除。但是系統重啟，這些鍵值不會被刪除。

(2)工具安裝與操作

Pandemic工具將通過Shellterm的shellcode安裝程序進行安裝。通過Python腳本在Shellterm中啟用shellcode安裝程序功能。要使用改腳本首先要將其拷貝到Shellterm所在的文件夾中。一旦安裝成功，就連接到目標活動會話，並確保生成的.bin文件位於Shellterm機器上。

(3)驗證和卸載

通過Control.dll動態鏈接庫文件，可以執行兩種不同的功能：Pandemic工具的安裝和卸載。

但是工具仍然存在一些問題。比如目標文件是Pexplorer.exe，大小為4.5 MB。該替換文件是NOTEPAD.exe，大小為67 KB。且遠程用戶複製將pexplorer.exe下載到具有相同文件名的本地文件夾，那麼Windows將會詢問用戶是否要覆蓋/取消副本。但是，之後操作完成後，用戶只能下載更換的500 KB的PE，如圖1所示。

本文系E安全獨家編譯報道

系統自查方案

需要檢查註冊表“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\”是否存在“NULL”服務。

若存在，即說明系統感染了Pandemic

cmd控制檯輸入：

reg -q HKLM\SYSTEM\CurrentControlSet\Services\Null

本文系E安全獨家編譯報道

E安全注：本文系E安全綜合編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網絡安全媒體和產業服務平臺，每日提供優質全球網絡安全資訊與深度思考。