WINNKIT-rootkit

WINNKIT is de naam van een van de componenten die wordt gebruikt in een meertraps, complex aanvalspatroon dat wordt gebruikt door de geavanceerde persistente bedreigingsacteur van Winnti.

De bedreigingsacteur van de Winnti-groep wordt ook wel APT41 genoemd. Volgens beveiligingsonderzoekers gaat het om een Chinees sprekend hackerscollectief, dat zou samenwerken met de Chinese inlichtingendiensten en gespecialiseerd is in cyberspionage.

De aanvallen die gebruik maken van WINNKIT zijn ongelooflijk complex en gebruiken een aantal verschillende tools in dezelfde aanval, met als uiteindelijk doel het installeren van de kwaadaardige WINNKIT-kernel en rootkit op het slachtoffersysteem.

De andere tools die bij de aanval worden gebruikt, zijn onder meer een achterdeur genaamd Spyder, STASHLOG en SPARKLOG - twee tools die worden gebruikt om kwaadaardige versleutelde payloads op te bergen in het Windows CLFS of "common log file system", en tot slot PRIVATELOG en DEPLOYLOG - tools die elkaar uitpakken, waarbij DEPLOYLOG uiteindelijk de WINNKIT-rootkit uitpakt.

WINNKIT is een stuurprogramma dat werkt als een rootkit. De malware heeft een verbluffend lage detectiegraad en kan TCP/IP-verzoeken onderscheppen, en gedraagt zich als een kernelmodusagent op het geïnfecteerde systeem.

Om detectie nog moeilijker te maken, gebruikt WINNKIT een verlopen BenQ-handtekening. Dit helpt de malware het handhavingsmechanisme van de Windows-stuurprogrammahandtekening te omzeilen.

WINNKIT heeft een aantal plug-ins die worden geïnjecteerd in het legitieme Windows svchost-proces en worden gebruikt om de ontwijkingsmogelijkheden van de malware verder te verbeteren. Verschillende modules hebben verschillende doelen, variërend van de mogelijkheid om processen op de slachtoffermachine te beëindigen tot het geven van Winnti remote desktop toegang tot het gecompromitteerde systeem.