Тихий взлом и полная невидимость. Рассказываем, как новый вирус RoadK1ll захватывает корпоративные сети
NewsMakerЗнакомые инструменты администрирования превратились в опасное оружие.
Незаметное присутствие внутри сети остаётся главным козырем злоумышленников, и новая находка специалистов Blackpoint показывает , насколько изощрёнными становятся такие инструменты. Вредоносный модуль под названием RoadK1ll помогает атакующим не просто закрепиться в системе, а тихо расширять доступ к другим узлам, оставаясь практически невидимым.
RoadK1ll обнаружили во время реагирования на инцидент. Модуль написан на Node.js и использует собственный протокол WebSocket для связи с инфраструктурой атакующих. Такой подход позволяет поддерживать постоянный канал управления и одновременно маскироваться под обычный сетевой трафик.
Главная задача RoadK1ll — превратить заражённый компьютер в промежуточную точку. Через такой узел оператор получает возможность выходить на внутренние сервисы, сегменты сети и системы, которые из внешней среды недоступны. При этом вредоносный код не открывает входящие соединения. Вместо этого он сам устанавливает исходящее WebSocket -соединение, через которое затем проксируется TCP-трафик по запросу.
Подобная схема даёт атакующему серьёзное преимущество. Соединения инициируются от имени уже доверенного устройства внутри сети, поэтому обходят защиту периметра и не вызывают подозрений. Через один канал можно одновременно работать с несколькими внутренними ресурсами, что ускоряет развитие атаки.
Незаметное присутствие внутри сети остаётся главным козырем злоумышленников, и новая находка специалистов Blackpoint показывает , насколько изощрёнными становятся такие инструменты. Вредоносный модуль под названием RoadK1ll помогает атакующим не просто закрепиться в системе, а тихо расширять доступ к другим узлам, оставаясь практически невидимым.
RoadK1ll обнаружили во время реагирования на инцидент. Модуль написан на Node.js и использует собственный протокол WebSocket для связи с инфраструктурой атакующих. Такой подход позволяет поддерживать постоянный канал управления и одновременно маскироваться под обычный сетевой трафик.
Главная задача RoadK1ll — превратить заражённый компьютер в промежуточную точку. Через такой узел оператор получает возможность выходить на внутренние сервисы, сегменты сети и системы, которые из внешней среды недоступны. При этом вредоносный код не открывает входящие соединения. Вместо этого он сам устанавливает исходящее WebSocket -соединение, через которое затем проксируется TCP-трафик по запросу.
Подобная схема даёт атакующему серьёзное преимущество. Соединения инициируются от имени уже доверенного устройства внутри сети, поэтому обходят защиту периметра и не вызывают подозрений. Через один канал можно одновременно работать с несколькими внутренними ресурсами, что ускоряет развитие атаки.