WINNKIT

WINNKIT ir izsmalcināts un ārkārtīgi izvairīgs drauds, kas ir atklāts kā daļa no Ķīnas atbalstītās APT (Advanced Persistent Threat) grupas Winnti arsenāla . Ļaunprātīgā programmatūra Winnti darbojās kā pēdējā slodze daudzpakāpju infekcijas ķēdē, ko izmantoja kiberspiegošanas kampaņā, kas turpinājās gadiem ilgi. Winnti arī izsekot kā APT41, Barium un Blackfly spēja iefiltrēties iekšējos mērķu tīklos, kas izplatījās visā Ziemeļamerikā, Eiropā un Āzijā.

Tiek uzskatīts, ka hakeri ir ieguvuši simtiem gigabaitu konfidenciālas informācijas, kas sastāv no intelektuālā īpašuma un patentētiem datiem, diagrammām, rasējumiem un daudz ko citu. Sīkāka informācija par visu operācijas infekcijas ķēdi un izmantotajiem draudu instrumentiem tika atklāta Cybereason publicētajā ziņojumā.

WINNKIT draudi izpaužas kā draiveris, kas aprīkots ar rootkit iespējām. Slepenības un atklāšanas un izvairīšanās paņēmienu efektivitātes apliecinājums ir tas, ka WINNKIT ir izdevies palikt neatklātam vismaz 3 gadus. Lai apietu Driver Signature Enforcement (DSE) mehānismu, kas atrodams Windows sistēmās, kurās darbojas operētājsistēma Windows Vista 64 bitu un jaunāka versija, WINNKIT satur BenQ ciparparakstu, kuram beidzies derīguma termiņš.

Pēc iniciēšanas WINNKIT pievienojas tīkla saziņai un gaida pielāgotas komandas no apdraudējuma dalībniekiem. Ienākošās komandas uz saknes komplektu pārsūta iepriekšējās pakāpes ļaunprogrammatūra, kas pazīstama kā DEPLOYLOG. Izmantojot atstarojošu ielādes injekciju, WINNKIT var ievadīt bojātus moduļus likumīgā svchost procesā, vienlaikus izvairoties no atklāšanas. Aktivizētie moduļi nodrošina uzbrucējiem plašu uzmācīgu funkciju klāstu. Piemēram, viens no tiem var iespējot attālās darbvirsmas piekļuvi apdraudētajai sistēmai. Cits spēj piekļūt sistēmas komandrindai. Ir arī īpaši moduļi manipulēšanai ar failu sistēmu, datu izfiltrēšanai un izvēlēto procesu nogalināšanai mērķa mašīnā.