Licențe pentru mai multe dispozitive (reduceri de volum)
Threat Database Rootkits WINNKIT

WINNKIT

Până în Mezo în Rootkits, Advanced Persistent Threat (APT)
Tradu in:
Română

WINNKIT este o amenințare sofisticată și extrem de evazivă despre care s-a descoperit că face parte din arsenalul grupului Winnti APT (Advanced Persistent Threat) susținut de chinezi. Malware-ul Winnti a acționat ca sarcină utilă finală într-un lanț de infecție în mai multe etape, folosit într-o campanie de spionaj cibernetic care a continuat ani de zile. Winnti a urmărit, de asemenea, că APT41, Barium și Blackfly au reușit să se infiltreze în rețelele interne de ținte răspândite în America de Nord, Europa și Asia.

Se crede că hackerii au obținut sute de gigaocteți de informații confidențiale, constând în proprietate intelectuală și date de proprietate, diagrame, planuri și multe altele. Detalii despre lanțul complet de infecție al operațiunii și instrumentele de amenințare utilizate au fost dezvăluite într-un raport publicat de Cybereason.

Amenințarea WINNKIT ia forma unui driver echipat cu capabilități rootkit. O dovadă a eficienței tehnicilor sale de ascundere și de detectare-evaziune este faptul că WINNKIT a reușit să rămână nedetectat timp de cel puțin 3 ani. Pentru a ocoli mecanismul Driver Signature Enforcement (DSE) găsit pe sistemele Windows care rulează Windows Vista pe 64 de biți și mai târziu, WINNKIT conține o semnătură digitală BenQ expirată.

După ce a fost inițiat, WINNKIT se conectează la comunicarea în rețea și așteaptă comenzi personalizate de la actorii amenințărilor. Comenzile primite sunt transmise rootkit-ului de către programul malware din etapa anterioară, cunoscut sub numele de DEPLOYLOG. Folosind o injecție de încărcare reflectivă, WINNKIT poate injecta module corupte în procesul svchost legitim, evitând în același timp detectarea. Modulele activate oferă atacatorilor o gamă largă de funcții intruzive. De exemplu, unul dintre ele poate activa accesul Desktop la distanță la sistemul compromis. Altele sunt capabile să acceseze linia de comandă a sistemului. Există, de asemenea, module dedicate pentru manipularea sistemului de fișiere, exfiltrarea datelor și uciderea proceselor alese pe mașina vizată.

Trending

Cele mai văzute

Se încarcă...