WINNKIT
Το WINNKIT είναι μια εξελιγμένη και εξαιρετικά αποφυγή απειλή που έχει ανακαλυφθεί ότι αποτελεί μέρος του οπλοστασίου της ομάδας Winnti (Advanced Persistent Threat) που υποστηρίζεται από την Κίνα. Το κακόβουλο λογισμικό Winnti λειτούργησε ως το τελικό ωφέλιμο φορτίο σε μια αλυσίδα μόλυνσης πολλαπλών σταδίων που χρησιμοποιήθηκε σε μια εκστρατεία κυβερνοκατασκοπείας που συνεχίστηκε για χρόνια. Το Winnti παρακολουθήθηκε επίσης καθώς το APT41, το Barium και το Blackfly κατάφεραν να διεισδύσουν στα εσωτερικά δίκτυα στόχων που εξαπλώθηκαν στη Βόρεια Αμερική, την Ευρώπη και την Ασία.
Οι χάκερ πιστεύεται ότι απέκτησαν εκατοντάδες gigabyte εμπιστευτικών πληροφοριών, που αποτελούνται από πνευματική ιδιοκτησία και ιδιόκτητα δεδομένα, διαγράμματα, σχεδιαγράμματα και άλλα. Λεπτομέρειες σχετικά με την πλήρη αλυσίδα μόλυνσης της επιχείρησης και τα χρησιμοποιούμενα απειλητικά εργαλεία αποκαλύφθηκαν σε έκθεση που δημοσιεύτηκε από την Cybereason.
Η απειλή WINNKIT έχει τη μορφή ενός προγράμματος οδήγησης εξοπλισμένου με δυνατότητες rootkit. Απόδειξη της αποτελεσματικότητας των τεχνικών stealth και ανίχνευσης-διαφυγής είναι το γεγονός ότι η WINNKIT κατάφερε να παραμείνει απαρατήρητη για τουλάχιστον 3 χρόνια. Για να παρακάμψετε τον μηχανισμό επιβολής υπογραφής προγράμματος οδήγησης (DSE) που βρίσκεται σε συστήματα Windows με Windows Vista 64-bit και νεότερες εκδόσεις, το WINNKIT περιέχει μια ληγμένη ψηφιακή υπογραφή BenQ.
Μετά την εκκίνηση, το WINNKIT συνδέεται με την επικοινωνία δικτύου και περιμένει προσαρμοσμένες εντολές από τους παράγοντες απειλής. Οι εισερχόμενες εντολές αναμεταδίδονται στο rootkit από το κακόβουλο λογισμικό προηγούμενου σταδίου γνωστό ως DEPLOYLOG. Χρησιμοποιώντας μια ανακλαστική έγχυση φόρτωσης, το WINNKIT μπορεί να εισάγει κατεστραμμένες μονάδες στη νόμιμη διαδικασία svchost , αποφεύγοντας τον εντοπισμό. Οι ενεργοποιημένες μονάδες παρέχουν ένα ευρύ φάσμα παρεμβατικών λειτουργιών στους επιτιθέμενους. Για παράδειγμα, ένα από αυτά μπορεί να ενεργοποιήσει την πρόσβαση απομακρυσμένης επιφάνειας εργασίας στο παραβιασμένο σύστημα. Το άλλο έχει δυνατότητα πρόσβασης στη γραμμή εντολών του συστήματος. Υπάρχουν επίσης αποκλειστικές ενότητες για χειρισμό του συστήματος αρχείων, εξαγωγή δεδομένων και θανάτωση επιλεγμένων διεργασιών στο στοχευμένο μηχάνημα.
