新しく特定された悪意のあるインプラント(RoadK1ll)により、脅威アクターは侵害されたホストから他のシステムへ静かに移動することができます。
このマルウェアはNode.jsインプラントであり、カスタムWebSocketプロトコルを使用して通信し、継続的な攻撃者アクセスを維持し、さらなる操作を可能にします。
RoadK1llはマネージド検知・対応(MDR)プロバイダーのBlackpointによってインシデント対応の過程で発見されました。
研究者はこれを軽量なリバーストンネリングインプラントとして説明しており、通常のネットワークアクティビティに紛れ込み、感染マシンを攻撃者のリレーポイントに変えます。
「その唯一の機能は、単一の侵害されたマシンを制御可能なリレーポイント(アクセスアンプリファイア)に変え、オペレータが内部システム、サービス、および外部からはアクセスできなかったネットワークセグメントにピボットできるようにすることです」とBlackpointは述べています。
RoadK1llは侵害されたホストのインバウンドリスナーに依存しません。攻撃者が制御するインフラストラクチャへのアウトバウンドWebSocket接続を確立し、これをオンデマンドでTCPトラフィックをリレーするトンネルとして使用します。
このアプローチにより、攻撃者は長期間検出されずに留まり、単一のWebSocketトンネルを通じて内部システムへのトラフィックをフォワードできます。
「攻撃者はRoadK1llに命令して、内部サービス、管理インターフェース、または外部に直接公開されていない他のホストへの接続を開くことができます」とBlackpointは述べています。
「これらの接続は侵害されたマシンから発信されるため、そのネットワークの信頼とポジショニングを引き継ぎ、実質的に境界制御をバイパスします。」
さらに、RoadK1llは同じトンネル上で複数の同時接続をサポートし、オペレータが複数の宛先と同時に通信することを可能にします。
研究者によると、このマルウェアは小さなコマンドセットをサポートしており、以下を含みます:
- CONNECT – 指定されたホストとポートへのTCP接続を開くようにインプラントに命令する
- DATA – アクティブな接続を通じてリトラフィックをフォワードする
- CONNECTED – リクエストされた接続が正常に確立されたことを確認する
- CLOSE – アクティブな接続を終了する
- ERROR – 失敗情報をオペレータに返す
CONNECTコマンドはRoadK1llの主要機能をトリガーします:隣接する対象へのアウトバウンドTCP接続を開始し、攻撃者のリーチを侵害されたネットワークに拡張します。
チャネルが中断された場合、ツールは再接続メカニズムを使用してWebSocketトンネルを復元しようとし、攻撃者が手動介入によるノイズを生成せずに持続的アクセスを維持できるようにします。
しかし、Blackpointは、RoadK1llがレジストリキー、スケジュールされたタスク、またはサービスを使用する従来の永続化メカニズムを持たないことに注目しています。代わりに、そのプロセスが生きている限りの間だけ動作します。
それでも、研究者はマルウェアが「より現代的で目的構築された実装」の秘密通信を示していると述べており、それは柔軟で効率的であり、デプロイが容易です。
また、脅威アクターがネットワーク外からアクセスできない内部システムと環境セグメントに移動することを可能にします。
Blackpointは、RoadK1llのハッシュとインプラントとの通信に使用される脅威アクターのIPアドレスを含むホストベースの侵害指標の小さなセットを提供しています。
