WINNKIT Rootkit

WINNKIT yra vieno iš komponentų, naudojamų daugiapakopiame sudėtingame atakos šablone, kurį naudoja Winnti pažangus nuolatinės grėsmės veikėjas, pavadinimas.

Winnti grupės grėsmės veikėjas taip pat kartais vadinamas APT41. Saugumo tyrinėtojų teigimu, tai kiniškai kalbantis įsilaužėlių kolektyvas, tariamai dirbantis su Kinijos žvalgybos tarnybomis ir besispecializuojantis kibernetiniame šnipinėjime.

Atakos, kurios naudoja WINNKIT, yra neįtikėtinai sudėtingos ir toje pačioje atakoje naudoja daugybę skirtingų įrankių, kurių galutinis tikslas yra įdiegti WINNKIT kenkėjišką branduolį ir rootkit aukos sistemoje.

Kiti atakoje naudojami įrankiai yra užpakalinės durys, vadinamos Spyder, STASHLOG ir SPARKLOG – du įrankiai, naudojami kenkėjiškų užšifruotų naudingųjų krovinių saugojimui „Windows“ CLFS arba „bendra žurnalo failų sistemoje“, ir galiausiai PRIVATELOG ir DEPLOYLOG – įrankiai, kurie išpakuoja vienas kitą. DEPLOYLOG galiausiai išpakuoja WINNKIT rootkit.

WINNKIT yra tvarkyklė, kuri veikia kaip rootkit. Kenkėjiškos programos aptikimo dažnis yra stulbinančiai mažas ir gali perimti TCP/IP užklausas, veikdama kaip branduolio režimo agentas užkrėstoje sistemoje.

Kad aptikimas būtų dar sunkesnis, WINNKIT naudoja pasibaigusį BenQ parašą. Tai padeda kenkėjiškajai programai apeiti „Windows“ tvarkyklės parašo vykdymo mechanizmą.

WINNKIT turi daugybę papildinių, kurie įvedami teisėtame „Windows svchost“ procese ir naudojami siekiant toliau tobulinti kenkėjiškų programų vengimo galimybes. Skirtingi moduliai turi skirtingą paskirtį – nuo galimybės nužudyti nukentėjusio kompiuterio procesus iki „Winnti“ nuotolinio darbalaukio prieigos prie pažeistos sistemos.