WINNKIT

WINNKIT er en sofistikeret og ekstremt undvigende trussel, der er blevet opdaget at være en del af arsenalet af den kinesisk-støttede APT-gruppe (Advanced Persistent Threat) Winnti . Winnti-malwaren fungerede som den sidste nyttelast i en flertrins infektionskæde, der blev brugt i en cyberspionagekampagne, der fortsatte i årevis. Winnti sporede også som APT41, Barium og Blackfly formåede at infiltrere de interne netværk af mål spredt over Nordamerika, Europa og Asien.

Hackerne menes at have fået hundredvis af gigabyte af fortrolig information, bestående af intellektuel ejendomsret og proprietære data, diagrammer, tegninger og mere. Detaljer om den komplette infektionskæde af operationen og de anvendte truende værktøjer blev afsløret i en rapport udgivet af Cybereason.

WINNKIT-truslen har form af en driver udstyret med rootkit-funktioner. Et vidnesbyrd om effektiviteten af dets stealth- og detektions-unddragelsesteknikker er det faktum, at WINNKIT har formået at forblive uopdaget i mindst 3 år. For at omgå Driver Signature Enforcement (DSE)-mekanismen, der findes på Windows-systemer, der kører Windows Vista 64-bit og nyere, indeholder WINNKIT en udløbet BenQ digital signatur.

Efter at være blevet påbegyndt, kobler WINNKIT sig til netværkskommunikationen og venter på brugerdefinerede kommandoer fra trusselsaktørerne. De indkommende kommandoer videresendes til rootkit'et af den forrige trins malware kendt som DEPLOYLOG. Ved at bruge en reflekterende belastningsinjektion kan WINNKIT injicere korrupte moduler i den legitime svchost- proces, samtidig med at det undgår registrering. De aktiverede moduler giver en bred vifte af påtrængende funktioner til angriberne. For eksempel kan en af dem aktivere Remote Desktop-adgang til det kompromitterede system. Anden er i stand til at få adgang til systemets kommandolinje. Der er også dedikerede moduler til at manipulere filsystemet, eksfiltrere data og dræbe udvalgte processer på den målrettede maskine.