Винкит руткит

WINNKIT — это название одного из компонентов, используемых в многоэтапной сложной схеме атаки, используемой субъектом продвинутой постоянной угрозы Winnti.

Угрозу группы Winnti также иногда называют APT41. По данным исследователей безопасности, это китайскоязычный хакерский коллектив, якобы сотрудничающий с китайскими спецслужбами и специализирующийся на кибершпионаже.

Атаки с использованием WINNKIT невероятно сложны и используют несколько различных инструментов в одной и той же атаке с конечной целью установки вредоносного ядра WINNKIT и руткита в системе жертвы.

Другие инструменты, использованные в атаке, включают бэкдор под названием Spyder, STASHLOG и SPARKLOG — два инструмента, используемые для хранения вредоносных зашифрованных полезных данных внутри Windows CLFS или «системы файлов общего журнала», и, наконец, PRIVATELOG и DEPLOYLOG — инструменты, которые распаковывают друг друга. с помощью DEPLOYLOG в конечном итоге распаковывает руткит WINNKIT.

WINNKIT — это драйвер, который действует как руткит. Вредоносная программа имеет ошеломляюще низкий уровень обнаружения и способна перехватывать запросы TCP/IP, действуя в зараженной системе как агент режима ядра.

Чтобы еще больше затруднить обнаружение, WINNKIT использует просроченную подпись BenQ. Это помогает вредоносным программам обойти механизм проверки подписи драйверов Windows.

WINNKIT имеет ряд подключаемых модулей, которые внедряются в законный процесс svchost Windows и используются для дальнейшего расширения возможностей уклонения вредоносного ПО. Различные модули имеют разные цели: от возможности убивать процессы на компьютере-жертве до предоставления удаленного доступа Winnti к скомпрометированной системе.