Új RoadK1ll WebSocket implantátum: a támadók ezzel terjeszkednek a feltört hálózatokon

Folyamatos hozzáférés a támadók számára

A RoadK1ll Node.js-alapú, vagyis modern, kisméretű trójai program, amely észrevétlenül belesimul a szokásos hálózati forgalomba. Fő feladata, hogy a kompromittált gépet köztes, átjátszóponttá alakítsa, ahonnan a támadók szabadon mozoghatnak belső rendszerek, szolgáltatások vagy rejtett hálózati szegmensek felé, amelyek kívülről közvetlenül nem érhetők el. Emiatt a támadók egyszerre több célponttal is kommunikálhatnak ugyanazon a titkosított WebSocket-csatornán keresztül, és minden forgalom a megtámadott eszköz megbízhatóságát örökli meg, így a hagyományos védelmi rendszerek nehezebben ismerik fel az illetéktelen jelenlétet.

Intelligens és rugalmas működés

A kártevő a hálózaton kifelé egy, a támadók által irányított szerverhez kapcsolódik, ezen keresztül tunnelezve tovább TCP-forgalmat, amikor erre utasítást kap. Öt egyszerű parancsot kezel: CONNECT (kapcsolat megnyitása), DATA (adatok továbbítása), CONNECTED (sikeres kapcsolat visszaigazolása), CLOSE (kapcsolat bontása) és ERROR (hibainformáció). Elsődleges célja, hogy a támadó a már megfertőzött gépről továbbléphessen további védett rendszerek felé, szinte észrevétlenül.

Védekezés és felismerés

Mivel a RoadK1ll nem alkalmaz szokásos perzisztenciamechanizmusokat – például nem módosítja a rendszerleíró kulcsokat és nem indít időzített feladatokat –, addig aktív, amíg a folyamata fut a rendszeren. Ha a csatornája megszakad, automatikusan helyreállítja azt, így folyamatos hozzáférést képes biztosítani, minimális zajt generálva. Kis mérete, hatékonysága és könnyű telepíthetősége miatt különösen veszélyes, felismerése pedig speciális, a kompromittált gépet beazonosító mutatók (például jellemző hash-ek és kommunikációs IP-címek) segítségével lehetséges.

2026, adrienne, www.bleepingcomputer.com alapján