WINNKIT

WINNKIT yra sudėtinga ir labai vengianti grėsmė, kuri, kaip buvo nustatyta, yra Kinijos remiamos APT (Advanced Persistent Threat) grupės Winnti arsenalo dalis . „Winnti“ kenkėjiška programa buvo paskutinė kelių pakopų infekcijos grandinė, kuri buvo naudojama kibernetinio šnipinėjimo kampanijoje, kuri tęsėsi daugelį metų. Winnti taip pat sekama kaip APT41, Barium ir Blackfly sugebėjo įsiskverbti į vidinius taikinių tinklus, išplitusius Šiaurės Amerikoje, Europoje ir Azijoje.

Manoma, kad įsilaužėliai gavo šimtus gigabaitų konfidencialios informacijos, kurią sudaro intelektinė nuosavybė ir patentuoti duomenys, diagramos, brėžiniai ir kt. „Cybereason“ paskelbtoje ataskaitoje buvo atskleista išsami informacija apie visą operacijos infekcijos grandinę ir panaudotas grėsmę keliančias priemones.

WINNKIT grėsmė pasireiškia kaip tvarkyklė, aprūpinta rootkit galimybėmis. Jos slaptų ir aptikimo bei vengimo metodų veiksmingumą liudija tai, kad WINNKIT sugebėjo išlikti nepastebėtas mažiausiai 3 metus. Norint apeiti tvarkyklės parašo vykdymo (DSE) mechanizmą, esantį Windows sistemose, kuriose veikia 64 bitų ir naujesnės versijos Windows Vista, WINNKIT turi pasibaigusio BenQ skaitmeninio parašo galiojimą.

Po inicijavimo WINNKIT prisijungia prie tinklo ryšio ir laukia tinkintų komandų iš grėsmės veikėjų. Gaunamas komandas į rootkit perduoda ankstesnio etapo kenkėjiška programa, žinoma kaip DEPLOYLOG. Naudodamas atspindinčią įkėlimo įpurškimą, WINNKIT gali įterpti sugadintus modulius į teisėtą svchost procesą, išvengdamas aptikimo. Suaktyvinti moduliai užpuolikams suteikia platų įžeidžiančių funkcijų spektrą. Pavyzdžiui, vienas iš jų gali įgalinti nuotolinio darbalaukio prieigą prie pažeistos sistemos. Kita gali pasiekti sistemos komandų eilutę. Taip pat yra specialūs moduliai, skirti manipuliuoti failų sistema, išfiltruoti duomenis ir naikinti pasirinktus procesus tiksliniame kompiuteryje.