WINNKIT

WINNKIT är ett sofistikerat och extremt undvikande hot som har upptäckts vara en del av arsenalen för den kinesiskstödda APT-gruppen (Advanced Persistent Threat) Winnti . Winnti skadlig programvara fungerade som den sista nyttolasten i en infektionskedja i flera steg som användes i en cyberspionagekampanj som fortsatte i flera år. Winnti spårade också som APT41, Barium och Blackfly lyckades infiltrera de interna nätverken av mål spridda över Nordamerika, Europa och Asien.

Hackarna tros ha skaffat hundratals gigabyte konfidentiell information, bestående av immateriell egendom och proprietär data, diagram, ritningar och mer. Detaljer om hela infektionskedjan för operationen och de använda hotfulla verktygen avslöjades i en rapport publicerad av Cybereason.

WINNKIT-hotet tar formen av en drivrutin utrustad med rootkit-funktioner. Ett bevis på effektiviteten av dess smyg- och upptäcktsflyktstekniker är det faktum att WINNKIT har lyckats förbli oupptäckt i minst 3 år. För att kringgå mekanismen Driver Signature Enforcement (DSE) som finns på Windows-system som kör Windows Vista 64-bitars och senare, innehåller WINNKIT en utgången BenQ digital signatur.

Efter att ha initierats kopplar WINNKIT till nätverkskommunikationen och väntar på anpassade kommandon från hotaktörerna. De inkommande kommandona vidarebefordras till rootkit av skadlig programvara i föregående skede som kallas DEPLOYLOG. Genom att använda en reflekterande laddningsinjektion kan WINNKIT injicera skadade moduler i den legitima svchost- processen, samtidigt som de undviker upptäckt. De aktiverade modulerna ger ett brett utbud av påträngande funktioner till angriparna. Till exempel kan en av dem aktivera fjärrskrivbordsåtkomst till det komprometterade systemet. Other kan komma åt systemets kommandorad. Det finns också dedikerade moduler för att manipulera filsystemet, exfiltrera data och döda valda processer på den riktade maskinen.