WINNKIT

ВИННКИТ је софистицирана и изузетно избегавајућа претња за коју је откривено да је део арсенала АПТ (Адванцед Персистент Тхреат) групе Виннти коју подржавају Кинези. Злонамерни софтвер Виннти је деловао као коначни терет у вишестепеном ланцу инфекције који се користио у кампањи сајбер шпијунаже која је трајала годинама. Виннти је такође пратио како су АПТ41, Баријум и Блацкфли успели да се инфилтрирају у унутрашње мреже циљева раширених широм Северне Америке, Европе и Азије.

Верује се да су хакери добили стотине гигабајта поверљивих информација, које се састоје од интелектуалне својине и власничких података, дијаграма, нацрта и још много тога. Детаљи о комплетном ланцу инфекције операције и коришћеним претећим алатима откривени су у извештају који је објавио Цибереасон.

Претња ВИННКИТ има облик драјвера опремљеног руткит могућностима. Сведочанство о ефикасности његових техника скривања и откривања-избегавања је чињеница да је ВИННКИТ успео да остане неоткривен најмање 3 године. Да би се заобишао механизам примене потписа возача (ДСЕ) који се налази на Виндовс системима који користе Виндовс Виста 64-бит и новије верзије, ВИННКИТ садржи БенК дигитални потпис који је истекао.

Након покретања, ВИННКИТ се повезује на мрежну комуникацију и чека прилагођене команде од актера претње. Долазне команде се преносе у рооткит помоћу малвера претходне фазе познатог као ДЕПЛОИЛОГ. Коришћењем рефлективне ињекције учитавања, ВИННКИТ може убризгати оштећене модуле у легитимни свцхост процес, избегавајући откривање. Активирани модули пружају нападачима широк спектар интрузивних функција. На пример, један од њих може да омогући приступ удаљеној радној површини компромитованом систему. Други може да приступи системској командној линији. Такође постоје наменски модули за манипулисање системом датотека, ексфилтрирање података и убијање одабраних процеса на циљаној машини.