WINNKIT

WINNKIT on hienostunut ja erittäin välttelevä uhka, jonka on havaittu kuuluvan Kiinan tukeman APT (Advanced Persistent Threat) Winnti -ryhmän arsenaaliin. Winnti-haittaohjelma toimi viimeisenä hyötykuormana vuosia jatkuneessa kybervakoilukampanjassa käytetyssä monivaiheisessa tartuntaketjussa. Winnti, jota jäljitettiin myös nimellä APT41, Barium ja Blackfly, onnistuivat soluttautumaan Pohjois-Amerikassa, Euroopassa ja Aasiassa hajallaan olevien kohteiden sisäisiin verkkoihin.

Hakkereiden uskotaan saaneen satoja gigatavuja luottamuksellisia tietoja, jotka koostuvat immateriaaliomaisuudesta ja omistusoikeudesta tiedoista, kaavioista, piirustuksista ja muusta. Yksityiskohdat leikkauksen koko tartuntaketjusta ja käytetyistä uhkausvälineistä paljastettiin Cybereasonin julkaisemassa raportissa.

WINNKIT-uhka esiintyy rootkit-ominaisuuksilla varustetun ohjaimen muodossa. Osoituksena sen stealth- ja tunnistus-väistötekniikoiden tehokkuudesta on se, että WINNKIT on onnistunut pysymään havaitsemattomana vähintään 3 vuotta. WINNKIT sisältää vanhentuneen BenQ-digitaalisen allekirjoituksen ohittaakseen Driver Signature Enforcement (DSE) -mekanismin, joka löytyy Windows Vistasta 64-bittinen tai uudempi.

Aloittamisen jälkeen WINNKIT kytkeytyy verkkoviestintään ja odottaa mukautettuja komentoja uhkatoimijoilta. Saapuvat komennot välitetään rootkitille edellisen vaiheen haittaohjelmalla, joka tunnetaan nimellä DEPLOYLOG. Käyttämällä heijastavaa latausinjektiota WINNKIT voi lisätä vioittuneet moduulit lailliseen svchost -prosessiin samalla, kun vältetään havaitseminen. Aktivoidut moduulit tarjoavat hyökkääjille laajan valikoiman tunkeilevia toimintoja. Esimerkiksi yksi niistä voi mahdollistaa etätyöpöydän pääsyn vaarantuneeseen järjestelmään. Muu pystyy käyttämään järjestelmän komentoriviä. Siellä on myös omistettuja moduuleja tiedostojärjestelmän manipulointiin, tietojen suodattamiseen ja valittujen prosessien tappamiseen kohdekoneessa.