WINNKIT

تا Mezo در Rootkits, Advanced Persistent Threat (APT)

ترجمه به:

WINNKIT یک تهدید پیچیده و بسیار گریزان است که کشف شده است که بخشی از زرادخانه گروه APT (تهدید دائمی پیشرفته) Winnti با حمایت چین است. بدافزار Winnti به عنوان محموله نهایی در زنجیره عفونت چند مرحله ای مورد استفاده در یک کمپین جاسوسی سایبری که سال ها ادامه داشت، عمل کرد. Winnti همچنین به‌عنوان APT41، Barium و Blackfly موفق شدند به شبکه‌های داخلی اهداف پراکنده در سراسر آمریکای شمالی، اروپا و آسیا نفوذ کنند.

گمان می‌رود که هکرها صدها گیگابایت اطلاعات محرمانه شامل مالکیت معنوی و داده‌های اختصاصی، نمودارها، نقشه‌ها و موارد دیگر را به دست آورده‌اند. در گزارشی که توسط Cybereason منتشر شد، جزئیات مربوط به زنجیره کامل عفونت این عملیات و ابزارهای تهدیدآمیز مورد استفاده فاش شد.

تهدید WINNKIT به شکل یک درایور مجهز به قابلیت‌های روت کیت است. گواهی بر اثربخشی تکنیک‌های پنهان‌کاری و شناسایی-گریز این واقعیت است که WINNKIT توانسته است حداقل برای 3 سال ناشناخته بماند. برای دور زدن مکانیسم اجرای امضای راننده (DSE) موجود در سیستم‌های ویندوزی که ویندوز ویستا 64 بیتی و جدیدتر دارند، WINNKIT حاوی امضای دیجیتال BenQ منقضی شده است.

پس از راه اندازی، WINNKIT به ارتباطات شبکه متصل می شود و منتظر دستورات سفارشی بازیگران تهدید می شود. دستورات دریافتی توسط بدافزار مرحله قبلی به نام DEPLOYLOG به rootkit منتقل می‌شوند. با استفاده از تزریق بارگذاری بازتابی، WINNKIT می‌تواند ماژول‌های خراب را به فرآیند svchost قانونی تزریق کند، در حالی که از شناسایی فرار می‌کند. ماژول های فعال شده طیف وسیعی از عملکردهای نفوذی را برای مهاجمان فراهم می کنند. به عنوان مثال، یکی از آنها می تواند دسترسی Remote Desktop را به سیستم در معرض خطر فعال کند. دیگر قادر به دسترسی به خط فرمان سیستم است. همچنین ماژول‌های اختصاصی برای دستکاری سیستم فایل، استخراج داده‌ها و کشتن فرآیندهای انتخابی در دستگاه مورد نظر وجود دارد.

جستجو کردن

تغییر منطقه

WINNKIT

ثبت کردن نظر

پرطرفدار

Safe Search Eng

MyWallPaper

Grounding Conductor Ransomware

پربیننده ترین

آیا Lookmovie.io ایمن است؟

DNS Unlocker

کلاهبرداری ایمیل "جوخه گیک".