WINNKIT

WINNKIT एक परिष्कृत र अत्यन्तै बचाउने खतरा हो जुन चिनियाँ-समर्थित APT (Advanced Persistent Threat) समूह Winnti को शस्त्रागारको हिस्सा भएको पत्ता लागेको छ। Winnti मालवेयरले बहु-चरण संक्रमण श्रृंखलामा अन्तिम पेलोडको रूपमा काम गर्‍यो जुन साइबर जासूसी अभियानमा वर्षौंसम्म जारी रह्यो। Winnti ले APT41, Barium, र Blackfly को रूपमा उत्तरी अमेरिका, युरोप र एशियामा फैलिएको लक्ष्यहरूको आन्तरिक नेटवर्कमा घुसपैठ गर्न व्यवस्थित गर्यो।

ह्याकरहरूले सयौं गिगाबाइट गोप्य जानकारी प्राप्त गरेको विश्वास गरिन्छ, जसमा बौद्धिक सम्पत्ति र स्वामित्व डेटा, रेखाचित्र, ब्लुप्रिन्टहरू र थप कुराहरू समावेश छन्। सञ्चालनको पूर्ण संक्रमण शृङ्खला र प्रयोग गरिएको धम्की दिने उपकरणहरू बारे विवरण साइबेरेसन द्वारा प्रकाशित रिपोर्टमा प्रकट गरिएको थियो।

WINNKIT खतराले रूटकिट क्षमताहरूसँग सुसज्जित चालकको रूपमा लिन्छ। यसको स्टिल्थ र पत्ता लगाउने-चोरी प्रविधिहरूको प्रभावकारिताको प्रमाण भनेको यो तथ्य हो कि WINNKIT कम्तिमा 3 वर्षसम्म पत्ता नलागेको छ। Windows Vista 64-bit र पछि चलिरहेको Windows प्रणालीहरूमा पाइने ड्राइभर सिग्नेचर इन्फोर्समेन्ट (DSE) मेकानिजमलाई बाइपास गर्न, WINNKIT ले म्याद सकिएको BenQ डिजिटल हस्ताक्षर समावेश गर्दछ।

प्रारम्भ गरिसकेपछि, WINNKIT नेटवर्क संचारमा हुक गर्दछ र खतरा अभिनेताहरूबाट अनुकूलन आदेशहरूको लागि पर्खन्छ। आगमन आदेशहरू DEPLOYLOG भनेर चिनिने अघिल्लो चरणको मालवेयरद्वारा रूटकिटमा रिले गरिन्छ। रिफ्लेक्टिभ लोडिङ इन्जेक्सन प्रयोग गरेर, WINNKIT ले भ्रष्ट मोड्युलहरूलाई वैध svchost प्रक्रियामा इन्जेक्सन गर्न सक्छ, पत्ता लगाउनबाट बच्न। सक्रिय मोड्युलहरूले आक्रमणकारीहरूलाई घुसपैठ गर्ने कार्यहरूको विस्तृत दायरा प्रदान गर्दछ। उदाहरणका लागि, तिनीहरूमध्ये एउटाले सम्झौता प्रणालीमा रिमोट डेस्कटप पहुँच सक्षम गर्न सक्छ। अन्य प्रणाली आदेश लाइन पहुँच गर्न सक्षम छ। त्यहाँ फाइल प्रणाली हेरफेर गर्न, डेटा निकाल्ने र लक्षित मेसिनमा चयन गरिएका प्रक्रियाहरूलाई मार्ने समर्पित मोड्युलहरू पनि छन्।