WINNKIT Rootkit

A WINNKIT az egyik összetevő neve, amelyet a Winnti fejlett, állandó fenyegetési szereplője által használt többlépcsős, összetett támadási mintában használnak.

A Winnti csoport fenyegető szereplőjét néha APT41-nek is nevezik. Biztonsági kutatók szerint ez egy kínaiul beszélő hackerkollektíva, amely állítólag a kínai titkosszolgálatokkal dolgozik együtt, és a kiberkémkedésre szakosodott.

A WINNKIT-et használó támadások hihetetlenül összetettek, és számos különböző eszközt használnak ugyanabban a támadásban, és a végső cél a WINNKIT rosszindulatú kernel és rootkit telepítése az áldozat rendszerére.

A támadáshoz használt további eszközök közé tartozik a Spyder, a STASHLOG és a SPARKLOG nevű hátsó ajtó – két olyan eszköz, amelyek a rosszindulatú, titkosított rakományok elrejtésére szolgálnak a Windows CLFS-ben vagy a „közös naplófájlrendszerben”, végül pedig a PRIVATELOG és a DEPLOYLOG – egymást kicsomagoló eszközök. a DEPLOYLOG végül kicsomagolja a WINNKIT rootkitet.

A WINNKIT egy olyan illesztőprogram, amely rootkitként működik. A kártevő megdöbbentően alacsony észlelési arányú, és képes elfogni a TCP/IP kéréseket, kernel módú ügynökként viselkedve a fertőzött rendszeren.

Az észlelés még nehezebbé tétele érdekében a WINNKIT egy lejárt BenQ aláírást használ. Ez segít a rosszindulatú programnak megkerülni a Windows illesztőprogram-aláírás-kényszerítési mechanizmusát.

A WINNKIT számos beépülő modullal rendelkezik, amelyeket a törvényes Windows svchost folyamatban injektálnak, és a rosszindulatú programok kijátszási képességének továbbfejlesztésére használják. A különböző moduloknak más-más céljaik vannak, kezdve a folyamatok leállításától az áldozat gépén egészen a Winnti távoli asztali hozzáférésének biztosításáig a feltört rendszerhez.