WINNKIT

WINNKIT je sofisticirana i iznimno izbjegavajuća prijetnja za koju je otkriveno da je dio arsenala grupe Winnti (Advanced Persistent Threat) koju podržavaju Kinezi. Zlonamjerni softver Winnti djelovao je kao konačni teret u višefaznom lancu infekcije koji se koristio u kampanji kibernetičke špijunaže koja je trajala godinama. Winnti je također pratio kako su se APT41, Barium i Blackfly uspjeli infiltrirati u interne mreže ciljeva raširenih diljem Sjeverne Amerike, Europe i Azije.

Vjeruje se da su hakeri dobili stotine gigabajta povjerljivih informacija, koje se sastoje od intelektualnog vlasništva i vlasničkih podataka, dijagrama, nacrta i još mnogo toga. Pojedinosti o cjelokupnom lancu zaraze operacije i korištenim prijetećim alatima otkriveni su u izvješću koje je objavio Cybereason.

Prijetnja WINNKIT ima oblik upravljačkog programa opremljenog rootkit mogućnostima. Svjedočanstvo učinkovitosti njegovih tehnika prikrivenosti i otkrivanja-izbjegavanja je činjenica da je WINNKIT uspio ostati neotkriven najmanje 3 godine. Kako bi se zaobišao mehanizam za provođenje potpisa vozača (DSE) koji se nalazi na Windows sustavima koji koriste Windows Vista 64-bit i novije verzije, WINNKIT sadrži BenQ digitalni potpis koji je istekao.

Nakon što je pokrenut, WINNKIT se spaja na mrežnu komunikaciju i čeka prilagođene naredbe od aktera prijetnje. Dolazne naredbe prosljeđuju se rootkitu pomoću zlonamjernog softvera prethodne faze poznatog kao DEPLOYLOG. Koristeći reflektirajuću injekciju učitavanja, WINNKIT može ubaciti oštećene module u legitimni svchost proces, izbjegavajući otkrivanje. Aktivirani moduli pružaju napadačima širok raspon intruzivnih funkcija. Na primjer, jedan od njih može omogućiti pristup udaljenoj radnoj površini kompromitiranom sustavu. Drugi može pristupiti naredbenom retku sustava. Također postoje namjenski moduli za manipuliranje datotečnim sustavom, eksfiltraciju podataka i ubijanje odabranih procesa na ciljanom stroju.