WINNKIT

WINNKIT là một mối đe dọa tinh vi và cực kỳ lẩn tránh đã được phát hiện là một phần trong kho vũ khí của nhóm APT (Mối đe dọa liên tục nâng cao) do Trung Quốc hậu thuẫn Winnti . Phần mềm độc hại Winnti đóng vai trò là phần mềm cuối cùng trong một chuỗi lây nhiễm nhiều giai đoạn được sử dụng trong một chiến dịch gián điệp mạng kéo dài trong nhiều năm. Winnti cũng theo dõi khi APT41, Barium và Blackfly đã tìm cách xâm nhập vào mạng lưới nội bộ của các mục tiêu trải rộng khắp Bắc Mỹ, Châu Âu và Châu Á.

Các tin tặc được cho là đã lấy được hàng trăm gigabyte thông tin bí mật, bao gồm tài sản trí tuệ và dữ liệu độc quyền, sơ đồ, bản thiết kế và hơn thế nữa. Chi tiết về chuỗi lây nhiễm hoàn chỉnh của hoạt động và các công cụ đe dọa được sử dụng đã được tiết lộ trong một báo cáo do Cybereason công bố.

Mối đe dọa WINNKIT có dạng một trình điều khiển được trang bị khả năng rootkit. Một minh chứng cho tính hiệu quả của các kỹ thuật trốn tránh bị phát hiện và tàng hình là thực tế rằng WINNKIT đã cố gắng để không bị phát hiện trong ít nhất 3 năm. Để vượt qua cơ chế Thực thi chữ ký trình điều khiển (DSE) được tìm thấy trên hệ thống Windows chạy Windows Vista 64-bit trở lên, WINNKIT chứa chữ ký số BenQ đã hết hạn.

Sau khi được khởi tạo, WINNKIT kết nối với giao tiếp mạng và chờ lệnh tùy chỉnh từ các tác nhân đe dọa. Các lệnh đến được chuyển tiếp tới rootkit bởi phần mềm độc hại ở giai đoạn trước được gọi là DEPLOYLOG. Bằng cách sử dụng tiêm tải phản chiếu, WINNKIT có thể đưa các mô-đun bị hỏng vào quy trình svchost hợp pháp, đồng thời tránh bị phát hiện. Các mô-đun được kích hoạt cung cấp một loạt các chức năng xâm nhập cho những kẻ tấn công. Ví dụ: một trong số họ có thể cho phép truy cập Máy tính Từ xa vào hệ thống bị xâm phạm. Other có khả năng truy cập vào dòng lệnh hệ thống. Ngoài ra còn có các mô-đun chuyên dụng để thao tác hệ thống tệp, lấy dữ liệu ra ngoài và giết các quy trình đã chọn trên máy được nhắm mục tiêu.