WINNKIT

WINNKIT er en sofistikert og ekstremt unnvikende trussel som har blitt oppdaget å være en del av arsenalet til den kinesisk-støttede APT-gruppen (Advanced Persistent Threat) Winnti . Winnti malware fungerte som den siste nyttelasten i en flertrinns infeksjonskjede brukt i en nettspionasjekampanje som fortsatte i årevis. Winnti sporet også som APT41, Barium og Blackfly klarte å infiltrere de interne nettverkene av mål spredt over Nord-Amerika, Europa og Asia.

Hackerne antas å ha skaffet seg hundrevis av gigabyte med konfidensiell informasjon, bestående av åndsverk og proprietære data, diagrammer, tegninger og mer. Detaljer om hele infeksjonskjeden til operasjonen og de truende verktøyene som ble brukt ble avslørt i en rapport publisert av Cybereason.

WINNKIT-trusselen har form av en driver utstyrt med rootkit-funksjoner. Et bevis på effektiviteten til stealth og deteksjonsunndragelsesteknikker er det faktum at WINNKIT har klart å forbli uoppdaget i minst 3 år. For å omgå Driver Signature Enforcement-mekanismen (DSE) som finnes på Windows-systemer som kjører Windows Vista 64-bit og nyere, inneholder WINNKIT en utløpt BenQ digital signatur.

Etter å ha blitt initiert, kobler WINNKIT seg til nettverkskommunikasjonen og venter på tilpassede kommandoer fra trusselaktørene. De innkommende kommandoene videresendes til rootkitten av skadevare fra forrige stadium kjent som DEPLOYLOG. Ved å bruke en reflekterende belastningsinjeksjon, kan WINNKIT injisere ødelagte moduler i den legitime svchost -prosessen, samtidig som den unngår deteksjon. De aktiverte modulene gir et bredt spekter av påtrengende funksjoner til angriperne. For eksempel kan en av dem aktivere Eksternt skrivebord-tilgang til det kompromitterte systemet. Other er i stand til å få tilgang til systemets kommandolinje. Det er også dedikerte moduler for å manipulere filsystemet, eksfiltrere data og drepe valgte prosesser på den målrettede maskinen.