WINNKIT

WINNKIT는 중국이 지원하는 APT(Advanced Persistent Threat) 그룹 Winnti 의 무기고의 일부로 밝혀진 정교하고 극도로 회피적인 위협입니다. Winnti 악성코드는 수년간 계속된 사이버 스파이 활동에 사용된 다단계 감염 체인의 최종 페이로드 역할을 했습니다. Winnti는 또한 APT41, Barium 및 Blackfly가 북미, 유럽 및 아시아 전역에 퍼져 있는 내부 목표 네트워크에 침투한 것으로 추적했습니다.

해커는 지적 재산과 독점 데이터, 다이어그램, 청사진 등으로 구성된 수백 기가바이트의 기밀 정보를 얻은 것으로 추정됩니다. 작업의 전체 감염 체인과 사용된 위협 도구에 대한 세부 정보는 Cybereason에서 발행한 보고서에서 공개되었습니다.

WINNKIT 위협은 루트킷 기능을 갖춘 드라이버의 형태를 취합니다. 스텔스 및 탐지-회피 기술의 효과에 대한 증거는 WINNKIT이 최소 3년 동안 탐지되지 않은 상태로 유지되었다는 사실입니다. Windows Vista 64비트 이상을 실행하는 Windows 시스템에서 발견되는 DSE(드라이버 서명 시행) 메커니즘을 우회하기 위해 WINNKIT에는 만료된 BenQ 디지털 서명이 포함되어 있습니다.

시작된 후 WINNKIT는 네트워크 통신에 연결하고 위협 행위자의 사용자 지정 명령을 기다립니다. 들어오는 명령은 DEPLOYLOG로 알려진 이전 단계 맬웨어에 의해 루트킷으로 릴레이됩니다. 반사 로딩 주입을 사용하여 WINNKIT는 탐지를 피하면서 손상된 모듈을 합법적인 svchost 프로세스에 주입할 수 있습니다. 활성화된 모듈은 공격자에게 광범위한 침입 기능을 제공합니다. 예를 들어 그 중 하나는 손상된 시스템에 대한 원격 데스크톱 액세스를 활성화할 수 있습니다. 기타는 시스템 명령줄에 액세스할 수 있습니다. 또한 파일 시스템을 조작하고, 데이터를 추출하고, 대상 시스템에서 선택한 프로세스를 종료하기 위한 전용 모듈이 있습니다.