WINNKIT

WINNKIT est une menace sophistiquée et extrêmement évasive qui a été découverte comme faisant partie de l'arsenal du groupe Winnti APT (Advanced Persistent Threat) soutenu par la Chine. Le logiciel malveillant Winnti a agi comme la charge utile finale dans une chaîne d'infection à plusieurs étapes utilisée dans une campagne de cyberespionnage qui s'est poursuivie pendant des années. Winnti a également suivi comme APT41, Barium et Blackfly ont réussi à infiltrer les réseaux internes de cibles réparties en Amérique du Nord, en Europe et en Asie.

On pense que les pirates ont obtenu des centaines de gigaoctets d'informations confidentielles, composées de propriété intellectuelle et de données exclusives, de diagrammes, de plans, etc. Des détails sur la chaîne d'infection complète de l'opération et les outils menaçants utilisés ont été révélés dans un rapport publié par Cybereason.

La menace WINNKIT prend la forme d'un pilote doté de fonctionnalités de rootkit. Un témoignage de l'efficacité de ses techniques de furtivité et de détection-évasion est le fait que WINNKIT a réussi à rester non détecté pendant au moins 3 ans. Pour contourner le mécanisme DSE (Driver Signature Enforcement) présent sur les systèmes Windows exécutant Windows Vista 64 bits et versions ultérieures, WINNKIT contient une signature numérique BenQ expirée.

Après avoir été lancé, WINNKIT se connecte à la communication réseau et attend les commandes personnalisées des acteurs de la menace. Les commandes entrantes sont relayées au rootkit par le malware de l'étape précédente connu sous le nom de DEPLOYLOG. En utilisant une injection de chargement réfléchissante, WINNKIT peut injecter des modules corrompus dans le processus svchost légitime, tout en évitant la détection. Les modules activés fournissent un large éventail de fonctions intrusives aux attaquants. Par exemple, l'un d'entre eux peut permettre l'accès du Bureau à distance au système compromis. Other est capable d'accéder à la ligne de commande du système. Il existe également des modules dédiés pour manipuler le système de fichiers, exfiltrer les données et tuer les processus choisis sur la machine ciblée.