HDRoot : le bootkit de l’équipe APT Winnti

Via SecureList, Kaspersky a publié deux articles sur un bootkit Windows utilisé par une équipe d’attaquants chinois baptisée Winnti connus pour l’intérêt qu’ils portent aux entreprise de Corée du Sud.

Le premier article décrit le fonctionnement de HDRoot, l’utilitaire d’infection de MBR et de persistance sur le système. Le second article se concentre sur les exécutables liés à ce bootkit (droppers utilisant le bootkit, etc).
Ces articles très intéressants donnent une bonne idée de ce qui peut se faire en la matière.

Une réflexion au sujet de « HDRoot : le bootkit de l’équipe APT Winnti »

Les commentaires sont fermés.