WINNKIT

O WINNKIT é uma ameaça sofisticada e extremamente evasiva, que foi descoberta como parte do arsenal do grupo APT (Advanced Persistent Threat) apoiado pela China, Winnti. O malware Winnti atuou como a carga útil final em uma cadeia de infecção em vários estágios, usada em uma campanha de ciber-espionagem que continuou por anos. O Winnti também pode ser rastreado como APT41, Barium e Blackfly, os quais conseguiram se infiltrar nas redes internas de alvos espalhados pela América do Norte, Europa e Ásia.

Acredita-se que os hackers tenham obtido centenas de gigabytes de informações confidenciais, consistindo em propriedade intelectual e dados proprietários, diagramas, projetos e muito mais. Detalhes sobre a cadeia de infecção completa da operação e as ferramentas de ameaça utilizadas foram revelados em um relatório publicado pela Cybereason.

A ameaça WINNKIT assume a forma de um driver equipado com recursos de rootkit. Um testemunho da eficácia de suas técnicas de furtividade e detecção e evasão é o fato de que o WINNKIT conseguiu permanecer indetectável por pelo menos 3 anos. Para ignorar o mecanismo DSE (Driver Signature Enforcement) encontrado nos sistemas Windows que executam o Windows Vista de 64 bits e posterior, o WINNKIT contém uma assinatura digital BenQ expirada.

Após ser iniciado, o WINNKIT conecta-se à comunicação de rede e aguarda os comandos personalizados dos agentes de ameaças. Os comandos recebidos são retransmitidos ao rootkit pelo malware do estágio anterior conhecido como DEPLOYLOG. Usando uma injeção de carga reflexiva, o WINNKIT pode injetar módulos corrompidos no processo svchost legítimo, evitando a detecção. Os módulos ativados fornecem uma ampla gama de funções intrusivas para os invasores. Por exemplo, um deles pode habilitar o acesso à Área de Trabalho Remota ao sistema comprometido. Outro é capaz de acessar a linha de comando do sistema. Também existem módulos dedicados para manipular o sistema de arquivos, exfiltrar dados e eliminar processos escolhidos na máquina visada.