WINNKIT
WINNKIT 是一种复杂且极其隐蔽的威胁,已被发现是中国支持的 APT(高级持续威胁)组织Winnti的武器库的一部分。 Winnti 恶意软件充当了持续多年的网络间谍活动中使用的多阶段感染链中的最终有效载荷。 Winnti 还追踪到 APT41、Barium 和 Blackfly 设法渗透到遍布北美、欧洲和亚洲的目标内部网络。
据信,黑客已经获得了数百 GB 的机密信息,包括知识产权和专有数据、图表、蓝图等。 Cybereason 发布的一份报告中披露了有关该操作的完整感染链和使用的威胁工具的详细信息。
WINNKIT 威胁采取配备了 rootkit 功能的驱动程序的形式。证明其隐身和检测规避技术的有效性的事实是 WINNKIT 已设法保持未被发现至少 3 年。为了绕过在运行 Windows Vista 64 位及更高版本的 Windows 系统上发现的驱动程序签名强制 (DSE) 机制,WINNKIT 包含过期的 BenQ 数字签名。
启动后,WINNKIT 会挂接到网络通信并等待来自威胁参与者的自定义命令。传入的命令由称为DEPLOYLOG 的前一阶段恶意软件中继到 rootkit。通过使用反射加载注入,WINNKIT 可以将损坏的模块注入到合法的svchost进程中,同时逃避检测。激活的模块为攻击者提供了广泛的侵入功能。例如,其中之一可以启用对受感染系统的远程桌面访问。其他能够访问系统命令行。还有专门的模块用于操作文件系统、泄露数据和杀死目标机器上的选定进程。
