WINNKIT

WINNKIT គឺជាការគំរាមកំហែងដ៏ស្មុគ្រស្មាញ និងគេចវេសបំផុត ដែលត្រូវបានគេរកឃើញថាជាផ្នែកមួយនៃឃ្លាំងអាវុធរបស់ក្រុម Winnti (Advanced Persistent Threat) ដែលគាំទ្រដោយចិន។ មេរោគ Winnti បានដើរតួជាបន្ទុកចុងក្រោយនៅក្នុងខ្សែសង្វាក់ឆ្លងមេរោគពហុដំណាក់កាលដែលប្រើក្នុងយុទ្ធនាការចារកម្មតាមអ៊ីនធឺណិតដែលបានបន្តអស់ជាច្រើនឆ្នាំ។ Winnti ក៏បានតាមដានផងដែរដូចជា APT41, Barium, និង Blackfly បានគ្រប់គ្រងដើម្បីជ្រៀតចូលបណ្តាញខាងក្នុងនៃគោលដៅដែលរីករាលដាលនៅទូទាំងអាមេរិកខាងជើង អឺរ៉ុប និងអាស៊ី។

ពួក Hacker ត្រូវបានគេជឿថាបានទទួលព័ត៌មានសម្ងាត់រាប់រយជីហ្គាបៃ ដែលរួមមានកម្មសិទ្ធិបញ្ញា និងទិន្នន័យកម្មសិទ្ធិ ដ្យាក្រាម ប្លង់មេ និងច្រើនទៀត។ ព័ត៌មានលម្អិតអំពីខ្សែសង្វាក់ឆ្លងមេរោគពេញលេញនៃប្រតិបត្តិការ និងឧបករណ៍គំរាមកំហែងដែលប្រើប្រាស់ត្រូវបានបង្ហាញនៅក្នុងរបាយការណ៍ដែលចេញផ្សាយដោយ Cybereason ។

ការគំរាមកំហែង WINNKIT ប្រើទម្រង់នៃកម្មវិធីបញ្ជាដែលបំពាក់ដោយសមត្ថភាព rootkit ។ សក្ខីកម្មអំពីប្រសិទ្ធភាពនៃបច្ចេកទេសលួចលាក់ និងរាវរក-គេចខ្លួន គឺជាការពិតដែលថា WINNKIT នៅតែមិនអាចរកឃើញយ៉ាងហោចណាស់ 3 ឆ្នាំ។ ដើម្បីរំលងយន្តការការអនុវត្តហត្ថលេខារបស់អ្នកបើកបរ (DSE) ដែលបានរកឃើញនៅលើប្រព័ន្ធ Windows ដែលដំណើរការ Windows Vista 64-bit និងក្រោយនោះ WINNKIT មានហត្ថលេខាឌីជីថល BenQ ដែលផុតកំណត់។

បន្ទាប់ពីត្រូវបានផ្តួចផ្តើម WINNKIT ភ្ជាប់ទំនាក់ទំនងបណ្តាញ ហើយរង់ចាំការបញ្ជាផ្ទាល់ខ្លួនពីអ្នកគំរាមកំហែង។ ពាក្យបញ្ជាចូលត្រូវបានបញ្ជូនបន្តទៅ rootkit ដោយមេរោគដំណាក់កាលមុនដែលគេស្គាល់ថា DEPLOYLOG ។ ដោយប្រើការចាក់បញ្ចូលការផ្ទុកឆ្លុះបញ្ចាំង WINNKIT អាចចាក់ម៉ូឌុលដែលខូចទៅក្នុងដំណើរការ svchost ស្របច្បាប់ ខណៈពេលដែលគេចពីការរកឃើញ។ ម៉ូឌុលដែលបានធ្វើឱ្យសកម្មផ្តល់នូវជួរដ៏ធំទូលាយនៃមុខងាររំខានដល់អ្នកវាយប្រហារ។ ឧទាហរណ៍ មួយក្នុងចំណោមពួកគេអាចបើកការចូលប្រើផ្ទៃតុពីចម្ងាយទៅកាន់ប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ ផ្សេងទៀតគឺអាចចូលប្រើបន្ទាត់ពាក្យបញ្ជាប្រព័ន្ធ។ វាក៏មានម៉ូឌុលដែលខិតខំប្រឹងប្រែងសម្រាប់រៀបចំប្រព័ន្ធឯកសារ ការទាញយកទិន្នន័យ និងការសម្លាប់ដំណើរការដែលបានជ្រើសរើសនៅលើម៉ាស៊ីនគោលដៅ។