WINNKIT

WINNKIT je prefinjena in izjemno izmikavna grožnja, za katero je bilo ugotovljeno, da je del arzenala skupine Winnti (Advanced Persistent Threat), ki jo podpira Kitajska. Zlonamerna programska oprema Winnti je delovala kot končna koristna obremenitev v večstopenjski verigi okužbe, ki se je uporabljala v kampanji kibernetskega vohunjenja, ki se je nadaljevala leta. Winnti je sledil tudi, ko so se APT41, Barium in Blackfly uspeli infiltrirati v notranja omrežja tarč, razširjenih po Severni Ameriki, Evropi in Aziji.

Domneva se, da so hekerji pridobili na stotine gigabajtov zaupnih informacij, sestavljenih iz intelektualne lastnine in lastniških podatkov, diagramov, načrtov in še več. Podrobnosti o celotni verigi okužbe operacije in uporabljenih grozečih orodjih so bile razkrite v poročilu, ki ga je objavil Cybereason.

Grožnja WINNKIT je v obliki gonilnika, opremljenega z zmožnostmi rootkita. O učinkovitosti njegovih tehnik prikritosti in odkrivanja-utaje priča dejstvo, da je WINNKIT uspel ostati neodkrit vsaj 3 leta. Za obhod mehanizma za uveljavljanje podpisa gonilnikov (DSE), ki ga najdemo v sistemih Windows z operacijskim sistemom Windows Vista 64-bit in novejši, WINNKIT vsebuje potekel digitalni podpis BenQ.

Po zagonu se WINNKIT poveže z omrežno komunikacijo in čaka na ukaze po meri od akterjev grožnje. Dohodne ukaze v rootkit posreduje zlonamerna programska oprema prejšnje stopnje, znana kot DEPLOYLOG. Z uporabo odsevne injekcije nalaganja lahko WINNKIT vbrizga poškodovane module v zakoniti proces svchost , pri čemer se izogne zaznavanju. Aktivirani moduli napadalcem zagotavljajo široko paleto vsiljivih funkcij. Eden od njih lahko na primer omogoči dostop oddaljenega namizja do ogroženega sistema. Drugi lahko dostopa do sistemske ukazne vrstice. Obstajajo tudi namenski moduli za manipulacijo datotečnega sistema, ekstrakcijo podatkov in ubijanje izbranih procesov na ciljnem stroju.