WINNKIT

WINNKIT, Çin destekli APT (Gelişmiş Kalıcı Tehdit) grubu Winnti'nin cephaneliğinin bir parçası olduğu keşfedilen sofistike ve son derece kaçamak bir tehdittir. Winnti kötü amaçlı yazılımı, yıllarca devam eden bir siber casusluk kampanyasında kullanılan çok aşamalı bir bulaşma zincirinde son yük görevi gördü. Winnti ayrıca APT41 olarak izlendi, Barium ve Blackfly Kuzey Amerika, Avrupa ve Asya'ya yayılmış iç hedef ağlarına sızmayı başardı.

Bilgisayar korsanlarının, fikri mülkiyet ve tescilli veriler, diyagramlar, planlar ve daha fazlasını içeren yüzlerce gigabayt gizli bilgi elde ettiğine inanılıyor. Cybereason tarafından yayınlanan bir raporda, operasyonun tüm enfeksiyon zinciri ve kullanılan tehdit araçlarıyla ilgili ayrıntılar ortaya çıktı.

WINNKIT tehdidi, rootkit yetenekleriyle donatılmış bir sürücü şeklini alır. Gizli ve tespit-kaçınma tekniklerinin etkinliğinin bir kanıtı, WINNKIT'in en az 3 yıl boyunca tespit edilmemeyi başarmasıdır. Windows Vista 64-bit ve sonraki sürümleri çalıştıran Windows sistemlerinde bulunan Sürücü İmzası Zorlama (DSE) mekanizmasını atlamak için WINNKIT, süresi dolmuş bir BenQ dijital imzası içerir.

Başlatıldıktan sonra, WINNKIT ağ iletişimine bağlanır ve tehdit aktörlerinden özel komutlar bekler. Gelen komutlar, DEPLOYLOG olarak bilinen önceki aşamadaki kötü amaçlı yazılım tarafından rootkit'e aktarılır. WINNKIT, yansıtıcı bir yükleme enjeksiyonu kullanarak, algılamadan kaçınırken meşru svchost işlemine bozuk modüller enjekte edebilir. Etkinleştirilen modüller, saldırganlara çok çeşitli müdahaleci işlevler sağlar. Örneğin, bunlardan biri, güvenliği ihlal edilmiş sisteme Uzak Masaüstü erişimini etkinleştirebilir. Diğer sistem komut satırına erişebilir. Ayrıca, dosya sistemini manipüle etmek, verileri sızdırmak ve hedeflenen makinede seçilen süreçleri öldürmek için özel modüller vardır.