Rootkit WINNKIT

WINNKIT est le nom de l'un des composants utilisés dans un modèle d'attaque complexe en plusieurs étapes utilisé par l'acteur avancé de menace persistante Winnti.

L'acteur menaçant du groupe Winnti est aussi parfois appelé APT41. Selon des chercheurs en sécurité, il s'agit d'un collectif de hackers parlant chinois, travaillant prétendument avec les services de renseignement chinois et spécialisé dans le cyberespionnage.

Les attaques qui utilisent WINNKIT sont incroyablement complexes et utilisent un certain nombre d'outils différents dans la même attaque, dans le but ultime d'installer le noyau malveillant et le rootkit WINNKIT sur le système victime.

Les autres outils utilisés dans l'attaque incluent une porte dérobée appelée Spyder, STASHLOG et SPARKLOG - deux outils utilisés pour stocker des charges utiles cryptées malveillantes dans le CLFS Windows ou "système de fichiers journaux commun", et enfin PRIVATELOG et DEPLOYLOG - des outils qui se décompactent, avec DEPLOYLOG décompressant finalement le rootkit WINNKIT.

WINNKIT est un pilote qui agit comme un rootkit. Le malware a un taux de détection incroyablement bas et est capable d'intercepter les requêtes TCP/IP, agissant comme un agent en mode noyau sur le système infecté.

Pour rendre la détection encore plus difficile, WINNKIT utilise une signature BenQ expirée. Cela aide le logiciel malveillant à contourner le mécanisme d'application de la signature du pilote Windows.

WINNKIT a un certain nombre de plugins qui sont injectés dans le processus svchost légitime de Windows et sont utilisés pour faire progresser les capacités d'évasion du malware. Différents modules ont des objectifs différents, allant de la capacité de tuer des processus sur la machine victime à donner à Winnti un accès au bureau à distance au système compromis.