WINNKIT

بواسطة Mezo في Rootkits, Advanced Persistent Threat (APT)

ترجمة الى:

WINNKIT هو تهديد متطور ومراوغ للغاية تم اكتشافه ليكون جزءًا من ترسانة مجموعة Winnti (التهديد المستمر المتقدم) APT المدعومة من الصين. كانت البرمجيات الخبيثة Winnti بمثابة الحمولة النهائية في سلسلة عدوى متعددة المراحل تُستخدم في حملة تجسس إلكتروني استمرت لسنوات. تتبع Winnti أيضًا حيث تمكنت APT41 و Barium و Blackfly من التسلل إلى الشبكات الداخلية للأهداف المنتشرة في جميع أنحاء أمريكا الشمالية وأوروبا وآسيا.

يُعتقد أن المتسللين حصلوا على مئات الجيجابايت من المعلومات السرية ، والتي تتكون من بيانات الملكية الفكرية وبيانات الملكية والمخططات والمخططات والمزيد. تم الكشف عن تفاصيل حول سلسلة العدوى الكاملة للعملية وأدوات التهديد المستخدمة في تقرير نشرته Cybereason.

يأخذ تهديد WINNKIT شكل سائق مجهز بإمكانيات الجذور الخفية. دليل على فعالية تقنيات التسلل والتهرب من الكشف هو حقيقة أن WINNKIT تمكنت من البقاء غير مكتشفة لمدة 3 سنوات على الأقل. لتجاوز آلية Driver Signature Enforcement (DSE) الموجودة في أنظمة Windows التي تعمل بنظام Windows Vista 64 بت والإصدارات الأحدث ، يحتوي WINNKIT على توقيع رقمي منتهي الصلاحية من BenQ.

بعد البدء ، يقوم WINNKIT بالربط بشبكة الاتصال وينتظر أوامر مخصصة من الجهات الفاعلة في التهديد. يتم ترحيل الأوامر الواردة إلى مجموعة الجذور الخفية بواسطة البرنامج الضار السابق المعروف باسم DEPLOYLOG. باستخدام حقنة تحميل عاكسة ، يمكن لـ WINNKIT حقن الوحدات التالفة في عملية svchost المشروعة ، مع تجنب الاكتشاف. توفر الوحدات المفعلة مجموعة واسعة من الوظائف التدخلية للمهاجمين. على سبيل المثال ، يمكن لأحدهم تمكين الوصول إلى سطح المكتب البعيد إلى النظام المخترق. الآخر قادر على الوصول إلى سطر أوامر النظام. هناك أيضًا وحدات مخصصة لمعالجة نظام الملفات ، واستخراج البيانات وقتل العمليات المختارة على الجهاز المستهدف.

بحث

تغيير المنطقة

WINNKIT

إرسال تعليق

الشائع

Safe Search Eng

MyWallPaper

Triovideo.ru

الأكثر مشاهدة

هل Lookmovie.io آمن؟

DNS Unlocker

احتيال البريد الإلكتروني "Geek Squad"