WINNKIT Rootkit

WINNKIT è il nome di uno dei componenti utilizzati in un modello di attacco complesso a più stadi utilizzato dall'avanzato attore di minacce persistenti Winnti.

L'attore della minaccia del gruppo Winnti viene talvolta indicato anche come APT41. Secondo i ricercatori di sicurezza, si tratta di un collettivo di hacker di lingua cinese, presumibilmente in collaborazione con i servizi di intelligence cinesi e specializzato in spionaggio informatico.

Gli attacchi che utilizzano WINNKIT sono incredibilmente complessi e utilizzano una serie di strumenti diversi nello stesso attacco, con l'obiettivo finale di installare il kernel dannoso WINNKIT e il rootkit sul sistema vittima.

Gli altri strumenti utilizzati nell'attacco includono una backdoor chiamata Spyder, STASHLOG e SPARKLOG, due strumenti utilizzati per riporre payload crittografati dannosi all'interno del CLFS di Windows o "file system di registro comune", e infine PRIVATELOG e DEPLOYLOG, strumenti che si decomprimono a vicenda, con DEPLOYLOG alla fine decomprimere il rootkit WINNKIT.

WINNKIT è un driver che agisce come un rootkit. Il malware ha un tasso di rilevamento incredibilmente basso ed è in grado di intercettare le richieste TCP/IP, agendo come un agente in modalità kernel sul sistema infetto.

Per rendere il rilevamento ancora più difficile, WINNKIT utilizza una firma BenQ scaduta. Questo aiuta il malware a aggirare il meccanismo di imposizione della firma del driver di Windows.

WINNKIT ha una serie di plug-in che vengono inseriti nel processo legittimo di Windows svchost e vengono utilizzati per migliorare ulteriormente le capacità di evasione del malware. Moduli diversi hanno scopi diversi, che vanno dalla capacità di terminare i processi sulla macchina vittima per fornire a Winnti l'accesso desktop remoto al sistema compromesso.