Лек, гъвкав и трудно откриваем инструмент за вътрешен достъп
Изследователи от Blackpoint разкриват нов зловреден инструмент, наречен RoadK1ll, който дава възможност на атакуващите да се придвижват незабелязано в компрометирани мрежи и да разширяват достъпа си към вътрешни системи.
Малуерът представлява Node.js имплант, който използва WebSocket комуникация, за да поддържа постоянна връзка с инфраструктурата на атакуващия и да действа като посредник за достъп до други ресурси в мрежата.
Как работи RoadK1ll
Основната функция на RoadK1ll е да превърне вече компрометираната машина в контролируема точка за пренасочване (relay).
След инфекция:
- имплантът установява изходяща WebSocket връзка към атакуващия
- не изисква отворени входящи портове
- използва съществуващото доверие на заразената система в мрежата
Чрез този тунел атакуващият може да:
- достига вътрешни системи, които не са достъпни отвън
- използва заразената машина като „мост“ към други сегменти
- извършва операции без да привлича внимание
Това е класически пример за техника, известна като lateral movement, но реализирана по модерен и трудно засичаем начин.
WebSocket тунел като механизъм за прикритие
Една от най-опасните характеристики на RoadK1ll е използването на WebSocket протокол:
- трафикът изглежда като нормална уеб комуникация
- преминава лесно през защитни механизми
- позволява двупосочен обмен на данни
Всички TCP връзки към вътрешни системи се пренасочват през един-единствен тунел, което значително намалява „шума“ и прави откриването по-трудно.
Поддържани команди и контрол
Малуерът използва ограничен, но ефективен набор от команди:
- CONNECT – създава връзка към вътрешен хост и порт
- DATA – прехвърля трафик през активната връзка
- CONNECTED – потвърждава успешна връзка
- CLOSE – затваря връзка
- ERROR – връща информация при неуспех
Чрез тези команди атакуващият може да управлява множество паралелни връзки и да комуникира с различни вътрешни системи едновременно.
Персистентност без класически механизми
Интересен аспект е, че RoadK1ll не използва традиционни механизми за персистентност, като:
- registry ключове
- scheduled tasks
- услуги
Вместо това, той работи докато процесът му е активен. Въпреки това, разполага с механизъм за автоматично повторно свързване, който:
- възстановява тунела при прекъсване
- позволява дълготраен достъп без намеса
- намалява риска от засичане
Защо RoadK1ll е опасен
Този инструмент представлява сериозна заплаха поради комбинацията от:
- ниска видимост в мрежовия трафик
- използване на легитимни протоколи
- възможност за достъп до вътрешни ресурси
- ефективно разширяване на компромиса
На практика, той действа като „усилвател на достъп“, позволявайки на атакуващия да използва една компрометирана машина като вход към цялата инфраструктура.
Индикатори за компрометиране и защита
От Blackpoint предоставят ограничен набор от индикатори за компрометиране (IOCs), включително:
- хеш на малуера
- IP адреси, използвани за комуникация
Организациите следва да:
- наблюдават изходящ WebSocket трафик
- анализират необичайни връзки към вътрешни ресурси
- внедрят сегментация на мрежата
- използват EDR/MDR решения за откриване на аномалии
- ограничат доверието между системите
RoadK1ll е пример за ново поколение малуер, фокусиран не върху първоначалната компрометация, а върху разширяване на достъпа и задържане в мрежата. Използването на стандартни протоколи и минималистичен дизайн го правят ефективен инструмент за скрити операции.
Защитата срещу подобни заплахи изисква не само традиционни средства, но и задълбочено разбиране на вътрешния трафик и поведението на системите в мрежата.
