Llicències per a diversos dispositius (descomptes per volum)
Threat Database Rootkits WINNKIT

WINNKIT

El Mezo el Rootkits, Advanced Persistent Threat (APT)
Traduir a:
Català

WINNKIT és una amenaça sofisticada i extremadament evasiva que s'ha descobert que forma part de l'arsenal del grup APT (Advanced Persistent Threat) Winnti , recolzat per la Xina. El programari maliciós Winnti va actuar com a càrrega útil final en una cadena d'infecció en diverses etapes utilitzada en una campanya de ciberespionatge que va continuar durant anys. Winnti també va fer un seguiment com APT41, Barium i Blackfly van aconseguir infiltrar-se a les xarxes internes d'objectius repartides per Amèrica del Nord, Europa i Àsia.

Es creu que els pirates informàtics van obtenir centenars de gigabytes d'informació confidencial, que consistia en propietat intel·lectual i dades de propietat, diagrames, plànols i molt més. Els detalls sobre la cadena d'infecció completa de l'operació i les eines amenaçadores utilitzades es van revelar en un informe publicat per Cybereason.

L'amenaça WINNKIT pren la forma d'un controlador equipat amb capacitats de rootkit. Un testimoni de l'eficàcia de les seves tècniques d'infiltració i detecció-evasió és el fet que WINNKIT ha aconseguit romandre sense ser detectat durant almenys 3 anys. Per evitar el mecanisme d'aplicació de la signatura del controlador (DSE) que es troba als sistemes Windows amb Windows Vista de 64 bits i posteriors, WINNKIT conté una signatura digital BenQ caducada.

Després d'iniciar-se, WINNKIT es connecta a la comunicació de xarxa i espera ordres personalitzades dels actors de l'amenaça. Les ordres entrants es transmeten al rootkit pel programari maliciós de l'etapa anterior conegut com DEPLOYLOG. Mitjançant una injecció de càrrega reflectiva, WINNKIT pot injectar mòduls danyats al procés svchost legítim, alhora que evita la detecció. Els mòduls activats proporcionen una àmplia gamma de funcions intrusives als atacants. Per exemple, un d'ells pot habilitar l'accés de l'escriptori remot al sistema compromès. Un altre és capaç d'accedir a la línia d'ordres del sistema. També hi ha mòduls dedicats per manipular el sistema de fitxers, extreure dades i matar processos escollits a la màquina de destinació.

Tendència

Més vist

Carregant...