WINNKIT
WINNKIT एक परिष्कृत और अत्यंत विकसित खतरा है जिसे चीनी समर्थित APT (Advanced Persistent Threat) समूह Winnti के शस्त्रागार का हिस्सा माना गया है। Winnti मैलवेयर ने साइबर जासूसी अभियान में उपयोग की जाने वाली एक बहु-चरण संक्रमण श्रृंखला में अंतिम पेलोड के रूप में कार्य किया जो वर्षों तक जारी रहा। Winnti को APT41 के रूप में भी ट्रैक किया गया, बेरियम, और ब्लैकफ्लाई उत्तरी अमेरिका, यूरोप और एशिया में फैले लक्ष्यों के आंतरिक नेटवर्क में घुसपैठ करने में कामयाब रहे।
माना जाता है कि हैकर्स ने सैकड़ों गीगाबाइट गोपनीय जानकारी प्राप्त की है, जिसमें बौद्धिक संपदा और मालिकाना डेटा, आरेख, ब्लूप्रिंट और बहुत कुछ शामिल है। साइबरसन द्वारा प्रकाशित एक रिपोर्ट में ऑपरेशन की पूरी संक्रमण श्रृंखला और उपयोग किए जाने वाले खतरनाक उपकरणों के बारे में विवरण सामने आया था।
WINNKIT खतरा रूटकिट क्षमताओं से लैस ड्राइवर का रूप लेता है। इसकी चुपके और पहचान-चोरी तकनीकों की प्रभावशीलता का एक प्रमाण यह तथ्य है कि WINNKIT कम से कम 3 वर्षों तक अनिर्धारित रहने में कामयाब रहा है। विंडोज विस्टा 64-बिट और बाद में चलने वाले विंडोज सिस्टम पर पाए जाने वाले ड्राइवर सिग्नेचर एनफोर्समेंट (डीएसई) तंत्र को बायपास करने के लिए, WINNKIT में एक समय सीमा समाप्त BenQ डिजिटल हस्ताक्षर है।
शुरू होने के बाद, WINNKIT नेटवर्क संचार से जुड़ जाता है और खतरे वाले अभिनेताओं से कस्टम कमांड की प्रतीक्षा करता है। आने वाली कमांड को पिछले चरण के मैलवेयर द्वारा रूटकिट में रिले किया जाता है जिसे DEPLOYLOG कहा जाता है। एक परावर्तक लोडिंग इंजेक्शन का उपयोग करके, WINNKIT भ्रष्ट मॉड्यूल को वैध svchost प्रक्रिया में इंजेक्ट कर सकता है, जबकि पता लगाने से बचता है। सक्रिय मॉड्यूल हमलावरों को घुसपैठ के कार्यों की एक विस्तृत श्रृंखला प्रदान करते हैं। उदाहरण के लिए, उनमें से एक दूरस्थ डेस्कटॉप एक्सेस को समझौता किए गए सिस्टम में सक्षम कर सकता है। अन्य सिस्टम कमांड लाइन तक पहुंचने में सक्षम है। फ़ाइल सिस्टम में हेरफेर करने, डेटा को बाहर निकालने और लक्षित मशीन पर चुनी गई प्रक्रियाओं को मारने के लिए समर्पित मॉड्यूल भी हैं।
