WINNKIT

WINNKIT je sofistikovaná a extrémně vyhýbavá hrozba, která byla objevena jako součást arzenálu skupiny Winnti APT (Advanced Persistent Threat) podporované Čínou. Malware Winnti se choval jako poslední náklad ve vícefázovém řetězci infekce používaného v kyberšpionážní kampani, která pokračovala roky. Winnti také sledoval, jak se APT41, Barium a Blackfly podařilo proniknout do vnitřních sítí cílů rozmístěných po Severní Americe, Evropě a Asii.

Předpokládá se, že hackeři získali stovky gigabajtů důvěrných informací, které se skládají z duševního vlastnictví a vlastnických dat, diagramů, plánů a dalších. Podrobnosti o kompletním infekčním řetězci operace a použitých nástrojích pro ohrožení byly odhaleny ve zprávě zveřejněné společností Cybereason.

Hrozba WINNKIT má podobu ovladače vybaveného funkcemi rootkit. Důkazem účinnosti jejích technik utajení a detekce-úniku je skutečnost, že WINNKIT dokázal zůstat nedetekován po dobu nejméně 3 let. K obejití mechanismu Driver Signature Enforcement (DSE), který se nachází v systémech Windows se systémem Windows Vista 64-bit a novější, obsahuje WINNKIT digitální podpis BenQ, jehož platnost vypršela.

Po spuštění se WINNKIT připojí k síťové komunikaci a čeká na vlastní příkazy od aktérů hrozeb. Příchozí příkazy jsou předávány do rootkitu malwarem předchozí fáze známým jako DEPLOYLOG. Pomocí reflexního načítání injekce může WINNKIT vložit poškozené moduly do legitimního procesu svchost a přitom se vyhnout detekci. Aktivované moduly poskytují útočníkům širokou škálu rušivých funkcí. Jeden z nich může například povolit přístup ke vzdálené ploše k napadenému systému. Jiný je schopen přistupovat k příkazovému řádku systému. Existují také vyhrazené moduly pro manipulaci se souborovým systémem, exfiltraci dat a zabíjení vybraných procesů na cílovém počítači.