Rootkit WINNKIT

WINNKIT es el nombre de uno de los componentes utilizados en un patrón de ataque complejo de varias etapas utilizado por el actor de amenazas persistente avanzado de Winnti.

El actor de amenazas del grupo Winnti también se conoce a veces como APT41. Según los investigadores de seguridad, se trata de un colectivo de hackers de habla china, que supuestamente trabaja con los servicios de inteligencia chinos y se especializa en ciberespionaje.

Los ataques que usan WINNKIT son increíblemente complejos y utilizan varias herramientas diferentes en el mismo ataque, con el objetivo final de instalar el kernel malicioso WINNKIT y el rootkit en el sistema de la víctima.

Las otras herramientas utilizadas en el ataque incluyen una puerta trasera llamada Spyder, STASHLOG y SPARKLOG, dos herramientas utilizadas para ocultar cargas maliciosas cifradas dentro de Windows CLFS o "sistema de archivo de registro común", y finalmente PRIVATELOG y DEPLOYLOG, herramientas que se descomprimen entre sí. con DEPLOYLOG finalmente descomprimiendo el rootkit WINNKIT.

WINNKIT es un controlador que actúa como un rootkit. El malware tiene una tasa de detección asombrosamente baja y es capaz de interceptar solicitudes TCP/IP, actuando como un agente en modo kernel en el sistema infectado.

Para dificultar aún más la detección, WINNKIT utiliza una firma de BenQ caducada. Esto ayuda al malware a eludir el mecanismo de aplicación de la firma del controlador de Windows.

WINNKIT tiene una serie de complementos que se inyectan en el proceso svchost legítimo de Windows y se utilizan para mejorar aún más las capacidades de evasión del malware. Los diferentes módulos tienen diferentes propósitos, que van desde la capacidad de eliminar procesos en la máquina de la víctima hasta brindar acceso de escritorio remoto de Winnti al sistema comprometido.