WINNKIT

WINNKIT — це складна і надзвичайно униклива загроза, яка, як виявилося, є частиною арсеналу підтримуваної Китаєм групи Winnti (Advanced Persistent Threat). Шкідливе програмне забезпечення Winnti діяло як останнє корисне навантаження в багатоетапному ланцюжку зараження, який використовувався в кампанії кібершпионажу, яка тривала роками. Віннті також відстежував, як APT41, Barium і Blackfly зуміли проникнути у внутрішні мережі цілей, поширених у Північній Америці, Європі та Азії.

Вважається, що зловмисники отримали сотні гігабайт конфіденційної інформації, яка складається з інтелектуальної власності та конфіденційних даних, діаграм, креслень тощо. Деталі про повний ланцюжок зараження операції та використовувані загрозливі інструменти були розкриті у звіті, опублікованому Cybereason.

Загроза WINNKIT має форму драйвера, оснащеного можливостями руткіта. Свідченням ефективності його методів невидимості та виявлення-ухилення є той факт, що WINNKIT зумів залишатися непоміченим протягом щонайменше 3 років. Щоб обійти механізм перевірки підпису драйверів (DSE), який є в системах Windows під керуванням 64-розрядної версії Windows Vista і новіших версій, WINNKIT містить прострочений цифровий підпис BenQ.

Після ініціювання WINNKIT підключається до мережевого зв’язку та чекає користувацьких команд від суб’єктів загрози. Вхідні команди передаються руткіту за допомогою зловмисного програмного забезпечення попереднього етапу, відомого як DEPLOYLOG. Використовуючи ін’єкцію відбиваючого навантаження, WINNKIT може впроваджувати пошкоджені модулі в законний процес svchost , уникаючи виявлення. Активовані модулі надають зловмисникам широкий спектр інтрузивних функцій. Наприклад, один з них може дозволити доступ віддаленого робочого столу до зламаної системи. Інші можуть отримати доступ до системного командного рядка. Існують також спеціальні модулі для маніпулювання файловою системою, вилучення даних і знищення вибраних процесів на цільовій машині.