Rootkit WINNKIT

WINNKIT to nazwa jednego z komponentów wykorzystywanych w wieloetapowym, złożonym wzorze ataku wykorzystywanego przez zaawansowanego aktora trwałego zagrożenia Winnti.

Aktor groźby z grupy Winnti jest również czasami określany jako APT41. Według badaczy bezpieczeństwa jest to chińskojęzyczny kolektyw hakerski, rzekomo współpracujący z chińskimi służbami wywiadowczymi i specjalizujący się w cyberszpiegostwie.

Ataki wykorzystujące WINNKIT są niezwykle złożone i wykorzystują wiele różnych narzędzi w tym samym ataku, a ostatecznym celem jest zainstalowanie złośliwego jądra i rootkita WINNKIT w systemie ofiary.

Inne narzędzia użyte w ataku to backdoor o nazwie Spyder, STASHLOG i SPARKLOG - dwa narzędzia używane do przechowywania złośliwych zaszyfrowanych ładunków wewnątrz Windows CLFS lub "wspólnego systemu plików dziennika", a wreszcie PRIVATELOG i DEPLOYLOG - narzędzia, które rozpakowują się nawzajem, z DEPLOYLOG ostatecznie rozpakowując rootkita WINNKIT.

WINNKIT to sterownik, który działa jak rootkit. Szkodnik ten ma oszałamiająco niski współczynnik wykrywalności i potrafi przechwytywać żądania TCP/IP, działając jak agent trybu jądra w zainfekowanym systemie.

Aby jeszcze bardziej utrudnić wykrywanie, WINNKIT używa wygasłej sygnatury BenQ. Pomaga to złośliwemu oprogramowaniu obejść mechanizm wymuszania sygnatur sterowników systemu Windows.

WINNKIT ma wiele wtyczek, które są wstrzykiwane w legalnym procesie svchost systemu Windows i są wykorzystywane do dalszego zwiększania możliwości unikania złośliwego oprogramowania. Różne moduły mają różne cele, od możliwości zabicia procesów na zaatakowanej maszynie po udostępnienie Winnti zdalnego dostępu do zaatakowanego systemu.