WINNKIT

A WINNKIT egy kifinomult és rendkívül kitérő fenyegetés, amelyről kiderült, hogy a kínai támogatású APT (Advanced Persistent Threat) Winnti csoport arzenáljának része. A Winnti malware volt a végső hasznos teher egy többlépcsős fertőzési láncban, amelyet egy évekig tartó kiberkémkedési kampányban használtak. Az APT41-nek, a Bariumnak és a Blackfly-nek nyomon követett Winntinek sikerült beszivárognia az Észak-Amerikában, Európában és Ázsiában elterjedt célpontok belső hálózatába.

A hackerek vélhetően több száz gigabájtnyi bizalmas információhoz jutottak, amely szellemi tulajdont és védett adatokat, diagramokat, tervrajzokat és egyebeket tartalmazott. A műtét teljes fertőzési láncolatáról és az alkalmazott fenyegető eszközökről a Cybereason által közzétett jelentésből derült ki.

A WINNKIT fenyegetés egy rootkit képességekkel felszerelt illesztőprogram formájában jelenik meg. Lopakodó és észlelési-elkerülési technikáinak hatékonyságát bizonyítja az a tény, hogy a WINNKIT-nek legalább 3 évig sikerült észrevétlenül maradnia. Az Driver Signature Enforcement (DSE) mechanizmus megkerülésére a Windows Vista 64 bites és újabb verzióit futtató Windows rendszereken a WINNKIT egy lejárt BenQ digitális aláírást tartalmaz.

Az indítás után a WINNKIT rákapcsol a hálózati kommunikációra, és egyedi parancsokat vár a fenyegetés szereplőitől. A bejövő parancsokat a DEPLOYLOG néven ismert előző fázisú rosszindulatú program továbbítja a rootkitnek. Reflexiós betöltési injekció használatával a WINNKIT sérült modulokat tud beilleszteni a legitim svchost folyamatba, miközben elkerüli az észlelést. Az aktivált modulok tolakodó funkciók széles skáláját biztosítják a támadók számára. Például egyikük engedélyezheti a távoli asztali hozzáférést a feltört rendszerhez. Az Other képes elérni a rendszer parancssorát. Vannak dedikált modulok is a fájlrendszer manipulálására, az adatok kiszűrésére és a kiválasztott folyamatok leállítására a megcélzott gépen.