WINNKIT

WINNKIT ist eine ausgeklügelte und extrem ausweichende Bedrohung, die als Teil des Arsenals der von China unterstützten APT-Gruppe (Advanced Persistent Threat) Winnti entdeckt wurde. Die Winnti-Malware fungierte als letzte Nutzlast in einer mehrstufigen Infektionskette, die in einer jahrelang andauernden Cyberspionage-Kampagne zum Einsatz kam. Winnti verfolgte auch, wie es APT41, Barium und Blackfly gelang, die internen Netzwerke von Zielen zu infiltrieren, die über Nordamerika, Europa und Asien verteilt waren.

Es wird angenommen, dass die Hacker Hunderte von Gigabyte an vertraulichen Informationen erhalten haben, die aus geistigem Eigentum und proprietären Daten, Diagrammen, Blaupausen und mehr bestehen. Details über die komplette Infektionskette der Operation und die eingesetzten Drohwerkzeuge wurden in einem von Cybereason veröffentlichten Bericht enthüllt.

Die WINNKIT-Bedrohung nimmt die Form eines Treibers an, der mit Rootkit-Fähigkeiten ausgestattet ist. Ein Beweis für die Effektivität seiner Stealth- und Detection-Evasion-Techniken ist die Tatsache, dass es WINNKIT gelungen ist, mindestens 3 Jahre lang unentdeckt zu bleiben. Um den Driver Signature Enforcement (DSE)-Mechanismus zu umgehen, der auf Windows-Systemen mit Windows Vista 64-Bit und höher zu finden ist, enthält WINNKIT eine abgelaufene digitale BenQ-Signatur.

Nach der Initiierung verbindet sich WINNKIT mit der Netzwerkkommunikation und wartet auf benutzerdefinierte Befehle von den Bedrohungsakteuren. Die eingehenden Befehle werden von der als DEPLOYLOG bekannten Vorstufen-Malware an das Rootkit weitergeleitet. Durch die Verwendung einer reflektiven Ladeinjektion kann WINNKIT beschädigte Module in den legitimen svchost- Prozess einschleusen, während es der Erkennung entgeht. Die aktivierten Module bieten den Angreifern eine breite Palette an Angriffsfunktionen. Einer von ihnen kann beispielsweise den Remotedesktopzugriff auf das kompromittierte System aktivieren. Andere können auf die Systembefehlszeile zugreifen. Es gibt auch dedizierte Module zum Manipulieren des Dateisystems, zum Exfiltrieren von Daten und zum Beenden ausgewählter Prozesse auf dem Zielcomputer.