Blackpoint Response Operations Center (BROC)は、最近の侵入分析中に、新たに発見されたNode.jsベースのインプラントであるRoadK1llを特定しました。
大規模なコマンドセットを搭載した従来のリモートアクセストロイの木馬とは異なり、RoadK1llは非常に限定的な運用目的を果たします。これは単一の侵害されたマシンを制御可能なネットワークリレーに変換する軽量のリバーストンネリングツールです。
その運用目標を達成するために、RoadK1llは標準的なトンネリングフレームワークをバイパスし、カスタム通信プロトコルに依存しています。
マルウェアは2つのコアNode.jsモジュールを利用しています:生のTCPソケット処理用のnetモジュールとWebSocket通信用のwsモジュール。このアーキテクチャの選択により、インプラントは攻撃者のリモートコマンドサーバーと被害者の内部ネットワークをブリッジすることができます。
アウトバウンドコマンドトンネルを確立するとき、RoadK1llは基本トークン認証を使用して事前定義されたリモートリレーサーバーに接続します。
通信はカスタムメッセージフレーミング構造に依存しています。各メッセージは4バイトのチャネル識別子で始まり、1バイトのメッセージタイプが続き、ペイロードデータで終了します。
RoadK1llはそのピボッティング機能を通じて、標準的なネットワーク侵入を広範な脅威に変換します。WebSocketトンネルがアクティブになると、インプラントはインバウンドオペレータコマンドをリッスンします。
オペレータがCONNECT命令を送信すると、適切に形式化されたターゲットホストとポートを提供します。RoadK1llは侵害されたマシンから直接、その内部宛先への新しいTCP接続を即座に開始します。
この新しい接続は内部から発信されるため、本質的に周辺セキュリティ制御をバイパスします。
侵害されたホストのネットワークトラストを継承します。このメカニズムは横方向の移動を可能にし、攻撃者が内部サービス、管理インターフェース、および公開インターネットから隔離されたセグメント化されたリソースにアクセスできるようにします。
接続が検証された後、RoadK1llは双方向プロキシとして機能します。攻撃者のトラフィックをライブ内部ソケットに転送し、返されるデータをWebSocketトンネルを通じてルーティングします。
この重要なアクセスを維持するために、RoadK1llは組み込みの再接続ループを備えています。
ネットワーク中断によってWebSocketトンネルがドロップした場合、マルウェアは設定された間隔に基づいて再接続試行を自動的にスケジュールします。ロジックはアクティブなタイマーをチェックして、複数の重複する接続試行を防ぎます。
インプラントはレジストリ実行キー、スケジュール済みタスク、またはサービスインストールなどの従来の永続化メカニズムを欠いています。
代わりに、このループによりBlack Point Cyberインプラントがメインプロセスが実行されている限り正常に回復することを保証します。モジュラーネットワークリレー機能に焦点を当てることで、単一のエンドポイントを再利用可能なゲートウェイに正常に変換します。
翻訳元: https://cyberpress.org/roadk1ll-enables-network-pivoting/