Licencias para múltiples dispositivos (descuentos por volumen)
Threat Database Rootkits WINNKIT

WINNKIT

Por Mezo en Rootkits, Advanced Persistent Threat (APT)
Traducir a:
Español

WINNKIT es una amenaza sofisticada y extremadamente evasiva que se ha descubierto que forma parte del arsenal del grupo Winnti APT (Advanced Persistent Threat) respaldado por China. El malware Winnti actuó como la carga útil final en una cadena de infección de múltiples etapas utilizada en una campaña de ciberespionaje que continuó durante años. Winnti también rastreó como APT41, Bario y Blackfly lograron infiltrarse en las redes internas de objetivos repartidos por América del Norte, Europa y Asia.

Se cree que los piratas informáticos obtuvieron cientos de gigabytes de información confidencial, que consiste en propiedad intelectual y datos de propiedad, diagramas, planos y más. Los detalles sobre la cadena de infección completa de la operación y las herramientas amenazantes utilizadas se revelaron en un informe publicado por Cybereason.

La amenaza WINNKIT toma la forma de un controlador equipado con capacidades de rootkit. Un testimonio de la efectividad de sus técnicas de sigilo y detección-evasión es el hecho de que WINNKIT ha logrado permanecer sin ser detectado durante al menos 3 años. Para omitir el mecanismo Driver Signature Enforcement (DSE) que se encuentra en los sistemas Windows que ejecutan Windows Vista de 64 bits y versiones posteriores, WINNKIT contiene una firma digital de BenQ caducada.

Después de iniciarse, WINNKIT se conecta a la comunicación de la red y espera comandos personalizados de los actores de amenazas. Los comandos entrantes son transmitidos al rootkit por el malware de etapa anterior conocido como DEPLOYLOG. Mediante el uso de una inyección de carga reflexiva, WINNKIT puede inyectar módulos corruptos en el proceso svchost legítimo, mientras evade la detección. Los módulos activados proporcionan una amplia gama de funciones intrusivas a los atacantes. Por ejemplo, uno de ellos puede habilitar el acceso de Escritorio remoto al sistema comprometido. Otro es capaz de acceder a la línea de comandos del sistema. También hay módulos dedicados para manipular el sistema de archivos, filtrar datos y eliminar los procesos elegidos en la máquina de destino.

Tendencias

Mas Visto

Cargando...