WINNKIT Rootkit

WINNKIT é o nome de um dos componentes usados em um padrão de ataque complexo de vários estágios usado pelo agente de ameaças persistentes avançado Winnti.

O agente de ameaças do grupo Winnti também é às vezes chamado de APT41. De acordo com pesquisadores de segurança, este é um coletivo de hackers de língua chinesa, supostamente trabalhando com os serviços de inteligência chineses e especializado em espionagem cibernética.

Os ataques que usam o WINNKIT são incrivelmente complexos e usam várias ferramentas diferentes no mesmo ataque, com o objetivo final de instalar o kernel e o rootkit maliciosos do WINNKIT no sistema da vítima.

As outras ferramentas usadas no ataque incluem um backdoor chamado Spyder, STASHLOG e SPARKLOG - duas ferramentas usadas para armazenar cargas criptografadas maliciosas dentro do Windows CLFS ou "sistema de arquivos de log comum" e, finalmente, PRIVATELOG e DEPLOYLOG - ferramentas que se descompactam, com DEPLOYLOG finalmente descompactando o rootkit WINNKIT.

WINNKIT é um driver que funciona como um rootkit. O malware tem uma taxa de detecção incrivelmente baixa e é capaz de interceptar solicitações TCP/IP, agindo como um agente de modo kernel no sistema infectado.

Para tornar a detecção ainda mais difícil, o WINNKIT usa uma assinatura BenQ expirada. Isso ajuda o malware a contornar o mecanismo de imposição de assinatura de driver do Windows.

O WINNKIT possui vários plugins que são injetados no processo legítimo do Windows svchost e são usados para avançar ainda mais os recursos de evasão do malware. Módulos diferentes têm propósitos diferentes, desde a capacidade de eliminar processos na máquina vítima até fornecer acesso remoto à área de trabalho do Winnti ao sistema comprometido.