維基解密于6月1日（本周四）公布了CIA專門針對Window系統(tǒng)， 屬于CIA Vault7項目代號為“Pandemic”的5個技術(shù)文檔。這次披露的文檔創(chuàng)建于2014年1月到2014年4月之間，且先后推出了1.0與1.1兩個版本。

此次Pandemic的泄露資料并未提及CIA到底使用了怎樣的初始感染載體，相關(guān)文檔中將其描述為一種Windows持久性植入程序，可以與本地網(wǎng)絡(luò)中的遠程用戶共享文件（程序）。Pandemic是網(wǎng)絡(luò)間諜通過即時將受感染服務(wù)器中的應(yīng)用程序代碼替換為有木馬的版本，從而感染遠程用戶的項目。

植入植入將具有共享驅(qū)動的本地網(wǎng)絡(luò)電腦轉(zhuǎn)變?yōu)橐粋€惡意軟件分發(fā)中心, 所有訪問它的PC都會被感染。這就類似醫(yī)學上患了傳染病的感染源。在同一個本地網(wǎng)絡(luò)當中，如果有共享驅(qū)動器的計算機感染了Pandemic的植入程序，一旦用戶執(zhí)行了服務(wù)器中存儲的病毒文件，就會感染遠程計算機。　

受害者請求文件時，Pandemic工具不會更改系統(tǒng)中的文件，而是用一個木馬替換合法程序。該工具最多可以替換20個程序，最大占用800MB的空間，且植入僅需10至15秒。而Pandemic的攻擊目標為使用SMB(Server Message Block)遠程協(xié)議的用戶。

自今年3月23號以來，維基解密每周五都在陸續(xù)發(fā)布各類CIA內(nèi)部文件，并將其作為“Vault 7”曝光內(nèi)容的一部分——然而，上周其曝光活動卻意外中止。截至目前，維基解密已經(jīng)公布了用于入侵三星智能電視的惡意軟件、MitM工具、一套用于提升惡意軟件歸因與分析難度的框架以及一款用于創(chuàng)建定制化惡意軟件安裝器的平臺等等。

維基解密在推遲上周曝光行動的同時，恰逢俄羅斯政府再次否認其曾對2016年美國總統(tǒng)大選作出干涉——這種“巧合”使得部分情報界成員認定，維基解密的作法可能是在服務(wù)于其它一些目的，而非單純是在揭露CIA的活動。

在此期間，影子經(jīng)紀人組織也起到了煽風點火的作用——其不僅向維基解密提供了針對主流網(wǎng)絡(luò)瀏覽器、移動手機以及Windows 10計算機的國安局漏洞信息，同時還竊取到了據(jù)稱來自中國、伊朗、俄羅斯與朝鮮的月度核武器與導彈數(shù)據(jù)信息。

影子經(jīng)紀人組織已經(jīng)披露了大量與Windows系統(tǒng)相關(guān)的漏洞信息，而其中最為嚴重的后果在于其4月公布的“永恒之藍”漏洞（為已經(jīng)于3月被微軟方面修復的SMB漏洞）在3周之前被勒索軟件WannaCry所利用，并在全球范圍內(nèi)引發(fā)極為重大的影響與損失。

維基解密過去幾個月披露的CIA Vault 7內(nèi)部文件如下：

2017年6月1日-Pandemic ：用于在本地網(wǎng)絡(luò)中植入感染源。

2017年5月19日-Athena ：Assassin是一款與AfterMidnight類似的惡意軟件。

2017年5月12日-AfterMidnight ：CIA用來創(chuàng)建針對Windows的自定義惡意軟件框架。

2017年5月5日-Archimedes ：CIA針對LAN網(wǎng)計算機的工具。

2017年4月28日-Scribbles ：用于文件追蹤。

2017年4月21日-Weeping Angel：CIA使用這種技術(shù)來滲透智能電視。

2017年4月14日-Hive：多平臺入侵植入和管理控制工具。

2017年4月7日-Grasshopper ：揭露了CIA入侵Windows和繞過反病毒保護的自定義惡意軟件框架。

2017年3月31日-Marble Framework：CIA用來隱藏網(wǎng)絡(luò)攻擊歸因的框架。

2017年3月23日-Dark Matter：包含iPhone和Mac黑客漏洞利用工具。

相關(guān)閱讀：

Pandemic是一個以內(nèi)核shellcode運行安裝文件系統(tǒng)過濾器驅(qū)動程序的工具。當遠程用戶通過SMB(Server Message Block)遠程協(xié)議獲取文件時，過濾器就會自動用木馬替換目標文件。而Pandemic工具運行的機器在打開文件時，目標文件不會被替換。Pandemic工具的攻擊目標是遠程使用SMB下載或執(zhí)行PE文件的用戶。

Pandemic工具目前可以在32位或者64位的系統(tǒng)中執(zhí)行。流行病植入1.0版本僅適用于64位機器。而流行病植入1.1版本增加了定位和替換多個文件的功能，最多可達20個文件。此外，流行病植入1.1版本將動態(tài)調(diào)整輸出bin文件的大小，以適合加載所有載荷數(shù)據(jù)，因此對于輸出bin的大小沒有絕對上限。

然而目前該工具硬編碼了替換文件大小的上限，上限為800MB。大流行植入1.1版本的改變提高了替換機制的魯棒性。

(1)文件注冊表訪問

Pandemic工具使用Windows的Flt *功能注冊一個微型驅(qū)動程序。因此，F(xiàn)ltMgr要求所有注冊為微型計算機的驅(qū)動程序都包含注冊表項。Pandemic工具使用“NULL”服務(wù)鍵值（在所有Windows系統(tǒng)上）作為自己的驅(qū)動程序服務(wù)鍵。該工具將在注冊表中的“NULL”服務(wù)鍵下創(chuàng)建2個子鍵和3個值。在工具卸載時，這些鍵值會被移除。但是系統(tǒng)重啟，這些鍵值不會被刪除。

(2)工具安裝與操作

Pandemic工具將通過Shellterm的shellcode安裝程序進行安裝。通過Python腳本在Shellterm中啟用shellcode安裝程序功能。要使用改腳本首先要將其拷貝到Shellterm所在的文件夾中。一旦安裝成功，就連接到目標活動會話，并確保生成的.bin文件位于Shellterm機器上。

(3)驗證和卸載

通過Control.dll動態(tài)鏈接庫文件，可以執(zhí)行兩種不同的功能：Pandemic工具的安裝和卸載。

但是工具仍然存在一些問題。比如目標文件是Pexplorer.exe，大小為4.5 MB。該替換文件是NOTEPAD.exe，大小為67 KB。且遠程用戶復制將pexplorer.exe下載到具有相同文件名的本地文件夾，那么Windows將會詢問用戶是否要覆蓋/取消副本。但是，之后操作完成后，用戶只能下載更換的500 KB的PE，如圖1所示。

需要檢查注冊表“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservices”是否存在“NULL”服務(wù)。

若存在，即說明系統(tǒng)感染了Pandemic

cmd控制臺輸入：

reg -q HKLMSYSTEMCurrentControlSetServicesNull

　　本次泄露文件地址:https://wikileaks.org/vault7/#Pandemic

Pandemic項目文檔下載：http://pan.baidu.com/s/1pK9zvcv