WINNKITルートキット

WINNKITは、Winntiの高度な持続的脅威アクターが使用する多段階の複雑な攻撃パターンで使用されるコンポーネントの1つの名前です。

Winntiグループの脅威アクターはAPT41と呼ばれることもあります。セキュリティ研究者によると、これは中国語を話すハッカー集団であり、中国の諜報機関と協力し、サイバースパイを専門としているとされています。

WINNKITを使用する攻撃は非常に複雑で、同じ攻撃でさまざまなツールを使用します。最終的な目標は、被害者のシステムにWINNKITの悪意のあるカーネルとルートキットをインストールすることです。

攻撃に使用された他のツールには、Spyder、STASHLOG、SPARKLOGと呼ばれるバックドア（Windows CLFSまたは「共通ログファイルシステム」内に悪意のある暗号化されたペイロードを隠蔽するために使用される2つのツール）、最後にPRIVATELOGとDEPLOYLOG（互いに解凍するツール）が含まれます。 DEPLOYLOGを使用すると、最終的にWINNKITルートキットが解凍されます。

WINNKITは、ルートキットのように機能するドライバーです。このマルウェアは検出率が驚くほど低く、感染したシステムでカーネルモードエージェントのように機能して、TCP/IP要求を傍受することができます。

検出をさらに困難にするために、WINNKITは期限切れのBenQ署名を使用します。これは、マルウェアがWindowsドライバーの署名施行メカニズムを回避するのに役立ちます。

WINNKITには、正規のWindows svchostプロセスに挿入され、マルウェアの回避機能をさらに進化させるために使用されるプラグインが多数あります。モジュールが異なれば、被害者のマシン上のプロセスを強制終了する機能から、侵害されたシステムへのWinntiリモートデスクトップアクセスを許可する機能まで、さまざまな目的があります。