WINNKIT-Rootkit

WINNKIT ist der Name einer der Komponenten, die in einem mehrstufigen, komplexen Angriffsmuster verwendet werden, das vom Winnti Advanced Persistent Threat Actor verwendet wird.

Der Bedrohungsakteur der Winnti-Gruppe wird manchmal auch als APT41 bezeichnet. Dabei handelt es sich laut Sicherheitsforschern um ein chinesischsprachiges Hacker-Kollektiv, das angeblich mit den chinesischen Geheimdiensten zusammenarbeitet und sich auf Cyber-Spionage spezialisiert hat.

Die Angriffe, die WINNKIT verwenden, sind unglaublich komplex und verwenden eine Reihe verschiedener Tools für denselben Angriff, mit dem ultimativen Ziel, den schädlichen WINNKIT-Kernel und das bösartige Rootkit auf dem Opfersystem zu installieren.

Zu den anderen bei dem Angriff verwendeten Tools gehören eine Hintertür namens Spyder, STASHLOG und SPARKLOG – zwei Tools, die verwendet werden, um böswillig verschlüsselte Payloads im Windows CLFS oder „Common Log File System“ zu verstauen, und schließlich PRIVATELOG und DEPLOYLOG – Tools, die sich gegenseitig entpacken, wobei DEPLOYLOG schließlich das WINNKIT-Rootkit entpackt.

WINNKIT ist ein Treiber, der sich wie ein Rootkit verhält. Die Malware hat eine erstaunlich niedrige Erkennungsrate und ist in der Lage, TCP/IP-Anfragen abzufangen, indem sie sich auf dem infizierten System wie ein Agent im Kernelmodus verhält.

Um die Erkennung noch zu erschweren, verwendet WINNKIT eine abgelaufene BenQ-Signatur. Dies hilft der Malware, den Durchsetzungsmechanismus für die Windows-Treibersignatur zu umgehen.

WINNKIT verfügt über eine Reihe von Plug-ins, die in den legitimen Windows-Svchost-Prozess eingeschleust werden und dazu dienen, die Umgehungsfunktionen der Malware weiter zu verbessern. Verschiedene Module haben unterschiedliche Zwecke, von der Fähigkeit, Prozesse auf dem Opfercomputer zu beenden, bis hin zum Gewähren von Winnti-Remote-Desktop-Zugriff auf das kompromittierte System.