WINNKIT

WINNKIT to wyrafinowane i niezwykle unikające zagrożenie, które zostało odkryte jako część arsenału wspieranej przez Chiny grupy Winnti APT (Advanced Persistent Threat). Szkodliwe oprogramowanie Winnti działało jako ostatni ładunek w wieloetapowym łańcuchu infekcji wykorzystywanym w trwającej od lat kampanii cyberszpiegowskiej. Winnti śledził również, jak APT41, Barium i Blackfly zdołały przeniknąć do wewnętrznych sieci celów rozsianych po Ameryce Północnej, Europie i Azji.

Uważa się, że hakerzy zdobyli setki gigabajtów poufnych informacji, na które składają się własność intelektualna i zastrzeżone dane, diagramy, plany i nie tylko. Szczegóły dotyczące całego łańcucha infekcji w ramach operacji oraz wykorzystywanych narzędzi grożących zostały ujawnione w raporcie opublikowanym przez Cybereason.

Zagrożenie WINNKIT przybiera postać sterownika wyposażonego w możliwości rootkita. Świadectwem skuteczności jego technik ukrywania się i wykrycia-unikania jest fakt, że WINNKIT zdołał pozostać niewykryty przez co najmniej 3 lata. Aby ominąć mechanizm Driver Signature Enforcement (DSE) znajdujący się w systemach Windows z 64-bitowym systemem Windows Vista lub nowszym, WINNKIT zawiera wygasły podpis cyfrowy BenQ.

Po zainicjowaniu WINNKIT przechwytuje komunikację sieciową i czeka na niestandardowe polecenia od podmiotów atakujących. Przychodzące polecenia są przekazywane do rootkita przez złośliwe oprogramowanie z poprzedniego etapu, znane jako DEPLOYLOG. Używając wstrzykiwania refleksyjnego ładowania, WINNKIT może wstrzyknąć uszkodzone moduły do prawidłowego procesu svchost , unikając wykrycia. Aktywowane moduły zapewniają atakującym szeroki zakres natrętnych funkcji. Na przykład jeden z nich może umożliwić dostęp zdalnego pulpitu do zaatakowanego systemu. Inni mogą uzyskać dostęp do wiersza poleceń systemu. Istnieją również dedykowane moduły do manipulowania systemem plików, eksfiltracji danych i zabijania wybranych procesów na docelowej maszynie.