WINNKIT Rootkit

WINNKIT 是 Winnti 高级持续性威胁参与者使用的多阶段、复杂攻击模式中使用的组件之一的名称。

Winnti 组威胁参与者有时也称为 APT41。据安全研究人员称，这是一个讲中文的黑客组织，据称与中国情报部门合作，专门从事网络间谍活动。

使用 WINNKIT 的攻击非常复杂，并且在同一攻击中使用了许多不同的工具，最终目标是在受害系统上安装 WINNKIT 恶意内核和 rootkit。

攻击中使用的其他工具包括名为 Spyder、STASHLOG 和 SPARKLOG 的后门——这两个工具用于将恶意加密的有效负载存储在 Windows CLFS 或“通用日志文件系统”中，最后是 PRIVATELOG 和 DEPLOYLOG——相互解包的工具，使用 DEPLOYLOG 最终解压 WINNKIT rootkit。

WINNKIT 是一个类似于 rootkit 的驱动程序。该恶意软件的检测率低得惊人，并且能够拦截 TCP/IP 请求，就像受感染系统上的内核模式代理一样。

为了使检测更加困难，WINNKIT 使用了过期的 BenQ 签名。这有助于恶意软件绕过 Windows 驱动程序签名强制机制。

WINNKIT 有许多插件被注入到合法的 Windows svchost 进程中，用于进一步提升恶意软件的规避能力。不同的模块有不同的目的，从杀死受害者机器上的进程到让 Winnti 远程桌面访问受感染系统的能力。