WINNKIT
WINNKIT یک تهدید پیچیده و بسیار گریزان است که کشف شده است که بخشی از زرادخانه گروه APT (تهدید دائمی پیشرفته) Winnti با حمایت چین است. بدافزار Winnti به عنوان محموله نهایی در زنجیره عفونت چند مرحله ای مورد استفاده در یک کمپین جاسوسی سایبری که سال ها ادامه داشت، عمل کرد. Winnti همچنین بهعنوان APT41، Barium و Blackfly موفق شدند به شبکههای داخلی اهداف پراکنده در سراسر آمریکای شمالی، اروپا و آسیا نفوذ کنند.
گمان میرود که هکرها صدها گیگابایت اطلاعات محرمانه شامل مالکیت معنوی و دادههای اختصاصی، نمودارها، نقشهها و موارد دیگر را به دست آوردهاند. در گزارشی که توسط Cybereason منتشر شد، جزئیات مربوط به زنجیره کامل عفونت این عملیات و ابزارهای تهدیدآمیز مورد استفاده فاش شد.
تهدید WINNKIT به شکل یک درایور مجهز به قابلیتهای روت کیت است. گواهی بر اثربخشی تکنیکهای پنهانکاری و شناسایی-گریز این واقعیت است که WINNKIT توانسته است حداقل برای 3 سال ناشناخته بماند. برای دور زدن مکانیسم اجرای امضای راننده (DSE) موجود در سیستمهای ویندوزی که ویندوز ویستا 64 بیتی و جدیدتر دارند، WINNKIT حاوی امضای دیجیتال BenQ منقضی شده است.
پس از راه اندازی، WINNKIT به ارتباطات شبکه متصل می شود و منتظر دستورات سفارشی بازیگران تهدید می شود. دستورات دریافتی توسط بدافزار مرحله قبلی به نام DEPLOYLOG به rootkit منتقل میشوند. با استفاده از تزریق بارگذاری بازتابی، WINNKIT میتواند ماژولهای خراب را به فرآیند svchost قانونی تزریق کند، در حالی که از شناسایی فرار میکند. ماژول های فعال شده طیف وسیعی از عملکردهای نفوذی را برای مهاجمان فراهم می کنند. به عنوان مثال، یکی از آنها می تواند دسترسی Remote Desktop را به سیستم در معرض خطر فعال کند. دیگر قادر به دسترسی به خط فرمان سیستم است. همچنین ماژولهای اختصاصی برای دستکاری سیستم فایل، استخراج دادهها و کشتن فرآیندهای انتخابی در دستگاه مورد نظر وجود دارد.