WINNKIT
WINNKIT 是一種複雜且極其隱蔽的威脅,已被發現是中國支持的 APT(高級持續威脅)組織Winnti的武器庫的一部分。 Winnti 惡意軟件充當了持續多年的網絡間諜活動中使用的多階段感染鏈中的最終有效載荷。 Winnti 還追踪到 APT41、Barium 和 Blackfly 設法滲透到遍布北美、歐洲和亞洲的目標內部網絡。
據信,黑客已經獲得了數百 GB 的機密信息,包括知識產權和專有數據、圖表、藍圖等。 Cybereason 發布的一份報告中披露了有關該操作的完整感染鍊和使用的威脅工具的詳細信息。
WINNKIT 威脅採取配備了 rootkit 功能的驅動程序的形式。證明其隱身和檢測規避技術的有效性的事實是 WINNKIT 已設法保持未被發現至少 3 年。為了繞過在運行 Windows Vista 64 位及更高版本的 Windows 系統上發現的驅動程序簽名強制 (DSE) 機制,WINNKIT 包含過期的 BenQ 數字簽名。
啟動後,WINNKIT 會掛接到網絡通信並等待來自威脅參與者的自定義命令。傳入的命令由稱為DEPLOYLOG 的前一階段惡意軟件中繼到 rootkit。通過使用反射加載注入,WINNKIT 可以將損壞的模塊注入到合法的svchost進程中,同時逃避檢測。激活的模塊為攻擊者提供了廣泛的侵入功能。例如,其中之一可以啟用對受感染系統的遠程桌面訪問。其他能夠訪問系統命令行。還有專門的模塊用於操作文件系統、洩露數據和殺死目標機器上的選定進程。
