WINNKIT Rootkit

WINNKIT er navnet på en af komponenterne, der bruges i et komplekst angrebsmønster i flere trin, som bruges af Winnti's avancerede persistente trussel-aktør.

Winnti-gruppens trusselsaktør bliver også nogle gange omtalt som APT41. Ifølge sikkerhedsforskere er der tale om et kinesisk-talende hackerkollektiv, der angiveligt arbejder med de kinesiske efterretningstjenester og har specialiseret sig i cyberspionage.

Angrebene, der bruger WINNKIT, er utroligt komplekse og bruger en række forskellige værktøjer i det samme angreb, med det ultimative mål at installere den ondsindede WINNKIT-kerne og rootkit på offersystemet.

De andre værktøjer, der blev brugt i angrebet, inkluderer en bagdør kaldet Spyder, STASHLOG og SPARKLOG - to værktøjer, der bruges til at gemme ondsindede krypterede nyttelaster inde i Windows CLFS eller "common log file system", og endelig PRIVATELOG og DEPLOYLOG - værktøjer, der pakker hinanden ud, med DEPLOYLOG, der i sidste ende pakker WINNKIT rootkit ud.

WINNKIT er en driver, der fungerer som et rootkit. Malwaren har en svimlende lav detektionsrate og er i stand til at opsnappe TCP/IP-anmodninger og fungerer som en kernel-mode agent på det inficerede system.

For at gøre detektion endnu sværere, bruger WINNKIT en udløbet BenQ-signatur. Dette hjælper malwaren med at komme uden om Windows-driversignaturmekanismen.

WINNKIT har en række plugins, der injiceres i den legitime Windows svchost-proces og bruges til yderligere at fremme malwarens unddragelsesmuligheder. Forskellige moduler har forskellige formål, lige fra evnen til at dræbe processer på offermaskinen til at give Winnti remote desktop adgang til det kompromitterede system.