WINNKIT

WINNKIT е сложна и изключително уклончива заплаха, за която е установено, че е част от арсенала на подкрепяната от Китай APT (Advanced Persistent Threat) група Winnti . Зловредният софтуер Winnti действаше като последен полезен товар в многоетапна верига за заразяване, използвана в кампания за кибершпионаж, която продължи с години. Winnti също проследява как APT41, Barium и Blackfly успяват да проникнат във вътрешните мрежи от цели, разпространени в Северна Америка, Европа и Азия.

Смята се, че хакерите са получили стотици гигабайта поверителна информация, състояща се от интелектуална собственост и собствени данни, диаграми, чертежи и др. Подробности за цялата верига на заразяване на операцията и използваните заплашителни инструменти бяха разкрити в доклад, публикуван от Cybereason.

Заплахата WINNKIT е под формата на драйвер, оборудван с руткит възможности. Доказателство за ефективността на неговите техники за стелт и засичане и избягване е фактът, че WINNKIT успява да остане неоткрит поне 3 години. За да заобиколи механизма за налагане на подпис на драйвери (DSE), който се намира в системите на Windows, работещи с Windows Vista 64-битова и по-нова версия, WINNKIT съдържа изтекъл цифров подпис на BenQ.

След като бъде иницииран, WINNKIT се свързва с мрежовата комуникация и изчаква персонализирани команди от участниците в заплахата. Входящите команди се предават на руткита от зловреден софтуер от предишния етап, известен като DEPLOYLOG. Чрез използване на отразяваща инжекция за зареждане, WINNKIT може да инжектира повредени модули в легитимния svchost процес, като същевременно избягва откриването. Активираните модули предоставят широк спектър от натрапчиви функции на нападателите. Например, един от тях може да даде възможност за достъп до отдалечен работен плот до компрометираната система. Другият има достъп до системния команден ред. Има и специални модули за манипулиране на файловата система, ексфилтриране на данни и убиване на избрани процеси на целевата машина.