WINNKIT Rootkit

Το WINNKIT είναι το όνομα ενός από τα στοιχεία που χρησιμοποιούνται σε ένα σύνθετο μοτίβο επίθεσης πολλαπλών σταδίων που χρησιμοποιείται από τον προηγμένο παράγοντα επίμονης απειλής Winnti.

Ο παράγοντας απειλής της ομάδας Winnti αναφέρεται επίσης μερικές φορές ως APT41. Σύμφωνα με ερευνητές ασφαλείας, πρόκειται για μια κινεζόφωνη ομάδα χάκερ, η οποία φέρεται να συνεργάζεται με τις κινεζικές υπηρεσίες πληροφοριών και να ειδικεύεται στην κατασκοπεία στον κυβερνοχώρο.

Οι επιθέσεις που χρησιμοποιούν το WINNKIT είναι απίστευτα πολύπλοκες και χρησιμοποιούν μια σειρά από διαφορετικά εργαλεία στην ίδια επίθεση, με απώτερο στόχο την εγκατάσταση του κακόβουλου πυρήνα και του rootkit του WINNKIT στο σύστημα θυμάτων.

Τα άλλα εργαλεία που χρησιμοποιούνται στην επίθεση περιλαμβάνουν μια κερκόπορτα που ονομάζεται Spyder, STASHLOG και SPARKLOG - δύο εργαλεία που χρησιμοποιούνται για την αποθήκευση κακόβουλων κρυπτογραφημένων ωφέλιμων φορτίων μέσα στο Windows CLFS ή "κοινό σύστημα αρχείων καταγραφής", και τέλος PRIVATELOG και DEPLOYLOG - εργαλεία που αποσυσκευάζουν το ένα το άλλο. με το DEPLOYLOG να αποσυσκευάζει τελικά το rootkit του WINNKIT.

Το WINNKIT είναι ένα πρόγραμμα οδήγησης που λειτουργεί σαν rootkit. Το κακόβουλο λογισμικό έχει εκπληκτικά χαμηλό ρυθμό ανίχνευσης και είναι σε θέση να υποκλέψει αιτήματα TCP/IP, ενεργώντας σαν παράγοντας λειτουργίας πυρήνα στο μολυσμένο σύστημα.

Για να κάνει τον εντοπισμό ακόμα πιο δύσκολο, το WINNKIT χρησιμοποιεί μια ληγμένη υπογραφή BenQ. Αυτό βοηθά το κακόβουλο λογισμικό να παρακάμψει τον μηχανισμό επιβολής της υπογραφής προγραμμάτων οδήγησης των Windows.

Το WINNKIT διαθέτει έναν αριθμό προσθηκών που εισάγονται στη νόμιμη διαδικασία svchost των Windows και χρησιμοποιούνται για την περαιτέρω προώθηση των δυνατοτήτων διαφυγής του κακόβουλου λογισμικού. Διαφορετικές μονάδες έχουν διαφορετικούς σκοπούς, που κυμαίνονται από τη δυνατότητα εξουδετέρωσης διεργασιών στο μηχάνημα-θύμα έως την παροχή πρόσβασης απομακρυσμένης επιφάνειας εργασίας Winnti στο παραβιασμένο σύστημα.