WINNKIT

WINNKIT je sofistikovaná a mimoriadne vyhýbavá hrozba, o ktorej sa zistilo, že je súčasťou arzenálu skupiny Winnti APT (Advanced Persistent Threat) podporovanej Čínou. Malvér Winnti pôsobil ako posledný náklad vo viacstupňovom infekčnom reťazci používanom v kyberšpionážnej kampani, ktorá pokračovala roky. Winnti tiež sledoval, ako sa APT41, Barium a Blackfly podarilo infiltrovať do vnútorných sietí cieľov rozmiestnených po Severnej Amerike, Európe a Ázii.

Predpokladá sa, že hackeri získali stovky gigabajtov dôverných informácií, ktoré pozostávali z duševného vlastníctva a vlastníckych údajov, diagramov, plánov a ďalších. Podrobnosti o úplnom infekčnom reťazci operácie a použitých ohrozujúcich nástrojoch odhalila správa, ktorú zverejnil Cybereason.

Hrozba WINNKIT má podobu ovládača vybaveného funkciami rootkitu. Dôkazom účinnosti jej tajných a detekčných-únikových techník je skutočnosť, že WINNKIT dokázal zostať neodhalený najmenej 3 roky. Na obídenie mechanizmu vynútenia podpisu ovládača (DSE), ktorý sa nachádza v systémoch Windows so systémom Windows Vista 64-bitový a novší, obsahuje WINNKIT digitálny podpis BenQ, ktorého platnosť vypršala.

Po spustení sa WINNKIT pripojí k sieťovej komunikácii a čaká na vlastné príkazy od aktérov hrozby. Prichádzajúce príkazy sú prenášané do rootkitu pomocou malvéru predchádzajúcej fázy známeho ako DEPLOYLOG. Použitím reflektívnej zavádzacej injekcie môže WINNKIT vložiť poškodené moduly do legitímneho procesu svchost , pričom sa vyhne detekcii. Aktivované moduly poskytujú útočníkom širokú škálu rušivých funkcií. Jeden z nich môže napríklad povoliť prístup vzdialenej pracovnej plochy k napadnutému systému. Iný má prístup k príkazovému riadku systému. K dispozícii sú tiež špeciálne moduly na manipuláciu so súborovým systémom, exfiltráciu údajov a zabíjanie vybraných procesov na cieľovom počítači.