WINNKIT

WINNKIT הוא איום מתוחכם ומתחמק ביותר שהתגלה כחלק מהארסנל של קבוצת ה-APT (Advanced Persistent Threat) Winnti , הנתמכת על ידי סיני. התוכנה הזדונית Winnti פעלה כמטען אחרון בשרשרת הדבקה רב-שלבית ששימשה בקמפיין ריגול סייבר שנמשך שנים. Winnti עקבה גם אחרי ש-APT41, Barium ו-Blackfly הצליחו לחדור לרשתות הפנימיות של מטרות הפרוסות על פני צפון אמריקה, אירופה ואסיה.

על פי ההערכות, ההאקרים השיגו מאות גיגה-בייט של מידע סודי, המורכב מקניין רוחני ונתונים קנייניים, דיאגרמות, שרטוטים ועוד. פרטים על שרשרת ההדבקה השלמה של המבצע והכלים המאיימים שנעשה בהם שימוש נחשפו בדו"ח שפרסמה Cybereason.

איום WINNKIT לובש צורה של דרייבר המצויד ביכולות rootkit. עדות ליעילות של טכניקות ההתגנבות וההתחמקות שלה היא העובדה ש-WINNKIT הצליחה להישאר ללא זיהוי במשך 3 שנים לפחות. כדי לעקוף את מנגנון אכיפת חתימות הנהג (DSE) שנמצא במערכות Windows המרצות את Windows Vista 64-bit ואילך, WINNKIT מכיל חתימה דיגיטלית של BenQ שפג תוקפו.

לאחר היזום, WINNKIT מתחבר לתקשורת הרשת ומחכה לפקודות מותאמות אישית של גורמי האיום. הפקודות הנכנסות מועברות ל-rootkit על ידי תוכנת זדונית בשלב הקודם הידועה בשם DEPLOYLOG. על ידי שימוש בהזרקת טעינה רפלקטיבית, WINNKIT יכול להחדיר מודולים פגומים לתהליך svchost הלגיטימי, תוך התחמקות מזיהוי. המודולים המופעלים מספקים מגוון רחב של פונקציות חודרניות לתוקפים. לדוגמה, אחד מהם יכול לאפשר גישה לשולחן עבודה מרוחק למערכת שנפרצה. אחר מסוגל לגשת לשורת הפקודה של המערכת. ישנם גם מודולים ייעודיים למניפולציה של מערכת הקבצים, הוצאת נתונים והרג תהליכים נבחרים במחשב הממוקד.