MalwareHackerangriffeSchwachstellen

RoadK1ll: Neuer Node.js-Malware-Implant ermöglicht stillen Netzwerk-Pivot

RoadK1ll: Neuer Node.js-Malware-Implant ermöglicht stillen Netzwerk-Pivot
Zusammenfassung

Sicherheitsforscher haben einen neuen Malware-Implant namens RoadK1ll entdeckt, der Angreifern ermöglicht, sich unbemerkt von einem kompromittierten Computer aus in Unternehmensnetzwerke auszubreiten. Das Node.js-basierte Schadprogramm kommuniziert über ein Custom-WebSocket-Protokoll und funktioniert als Relay-Punkt, durch den Cyberkriminelle auf interne Systeme zugreifen können, die von außen normalerweise nicht erreichbar sind. Das Besondere: RoadK1ll benötigt keinen Listener auf dem befallenen Host, sondern baut eine ausgehende Verbindung zur Infrastruktur der Angreifer auf und leitet Datenverkehr durch einen WebSocket-Tunnel weiter. Dies ermöglicht es den Tätern, lange Zeit unentdeckt zu bleiben und Sicherheitsbarrieren zu umgehen, da Verbindungen von dem bereits kompromittierten Computer stammen und dessen Netzwerk-Vertrauen erben. Das Malware-Modul wurde vom IT-Sicherheitsunternehmen Blackpoint während einer Incident-Response-Operation identifiziert und zeigt ein modernes, flexibles Design mit automatischen Wiederverbindungsmechanismen. Für deutsche Unternehmen und Behörden stellt RoadK1ll eine erhebliche Bedrohung dar, da es Lateralbewegungen innerhalb von Netzwerken erleichtert und traditionelle Perimeter-Sicherheitsmaßnahmen ineffektiv macht.

RoadK1ll wurde im Rahmen eines Incident-Response-Engagements entdeckt und repräsentiert eine neue Generation von Persistenz-Tools, die gezielt gegen moderne Netzwerk-Sicherheitsarchitekturen entwickelt wurden. Das Malware-Stück funktioniert nach einem eleganten, aber äußerst gefährlichen Prinzip: Es wandelt einen befallenen Host in einen kontrollierbaren Relay-Punkt um, durch den Angreifer auf ansonsten unerreichbare interne Systeme, Services und Netzwerk-Segmente zugreifen können.

Im Gegensatz zu klassischen Implantaten etabliert RoadK1ll keine eingehenden Listener auf dem befallenen System. Stattdessen initiiert es eine ausgehende WebSocket-Verbindung zu von Angreifern kontrollierten Servern. Diese Verbindung dient als Tunnel, über den TCP-Traffic bei Bedarf weitergeleitet wird. Dieser Ansatz ermöglicht es Angreifern, über längere Zeiträume unentdeckt zu bleiben, da die ausgehende Kommunikation in legitimen Netzwerk-Traffic verschmilzt.

Das Malware-Tool unterstützt mehrere gleichzeitige Verbindungen über denselben Tunnel hinweg, was es dem Angreifer erlaubt, mit mehreren Zielen gleichzeitig zu kommunizieren. Der zentrale CONNECT-Befehl löst die Hauptfunktion aus: die Initiierung einer ausgehenden TCP-Verbindung zu einem benachbarten Ziel im Netzwerk. Falls der Kanal unterbrochen wird, versucht RoadK1ll automatisch, den WebSocket-Tunnel wiederherzustellen und damit persistenten Zugriff zu bewahren.

Ein bemerkenswerter Unterschied zu herkömmlichen Implantaten: RoadK1ll nutzt keinen klassischen Persistenz-Mechanismus basierend auf Registry-Schlüsseln, geplanten Tasks oder Diensten. Es operiert ausschließlich, solange sein Prozess aktiv ist. Dennoch beschreiben die Sicherheitsforscher das Tool als “modern und speziell entwickelt” implementiert, was es flexibel, effizient und einfach einzusetzen macht.

Für Unternehmen im deutschsprachigen Raum ist dies besonders kritisch, da viele Organisationen auf Netzwerk-Segmentierung verlassen, um sensible Systeme zu schützen. RoadK1ll umgeht jedoch genau diese Schutzmaßnahmen, indem es Verbindungen vom vertrauenswürdigen, befallenen Host aus initiiert. Die von Blackpoint bereitgestellten Indikatoren – ein Hash für RoadK1ll und eine IP-Adresse der Angreifer – ermöglichen zwar eine Basis-Erkennung, doch ist eine umfassende Überwachung von WebSocket-Traffic und ungewöhnlichen internen Verbindungsmustern jetzt essentiell.

Ähnliche Artikel