RoadK1ll verfolgt einen Ansatz, der ohne eingehenden Listener auf dem kompromittierten Host auskommt. Stattdessen initiiert der Implant eine ausgehende WebSocket-Verbindung zur Infrastruktur der Angreifer, die dann als Tunnel zur Weiterleitung von TCP-Verkehr genutzt wird. Dadurch lässt sich der gesamte Datenverkehr zu internen Systemen über einen einzigen WebSocket-Tunnel kanalisieren.
Nach Angaben von Blackpoint kann der Angreifer RoadK1ll anweisen, Verbindungen zu internen Diensten, Management-Schnittstellen oder anderen Hosts zu öffnen, die nicht direkt nach außen exponiert sind. Da diese Verbindungen vom kompromittierten Rechner ausgehen, erben sie dessen Vertrauensstellung und Position im Netzwerk und umgehen damit faktisch die Kontrollen am Perimeter.
Der Implant unterstützt zudem mehrere gleichzeitige Verbindungen über denselben Tunnel, sodass ein Operator parallel mit mehreren Zielen kommunizieren kann. Das Schadprogramm beherrscht laut den Forschern nur einen kleinen Satz an Befehlen. Zentral ist der Befehl CONNECT, der die Hauptfunktion auslöst: Er stellt eine ausgehende TCP-Verbindung zu einem benachbarten Ziel her und erweitert so die Reichweite des Angreifers in das kompromittierte Netzwerk hinein.
Wird der Kanal unterbrochen, versucht das Werkzeug über einen Wiederverbindungsmechanismus, den WebSocket-Tunnel wiederherzustellen. Auf diese Weise lässt sich der Zugriff aufrechterhalten, ohne dass manuelle Eingriffe nötig werden, die auffallen könnten.
Einen klassischen Persistenzmechanismus über Registry-Schlüssel, geplante Aufgaben oder Dienste besitzt RoadK1ll dagegen nicht, wie Blackpoint betont. Der Implant ist nur so lange aktiv, wie sein Prozess läuft. Trotz dieser Einschränkung sprechen die Forscher von einer moderneren und zweckgebauten Umsetzung verdeckter Kommunikation, die das Werkzeug flexibel, effizient und leicht ausrollbar mache und es Angreifern erlaube, sich zu internen Systemen und Segmenten der Umgebung zu bewegen, die von außen nicht erreichbar sind.
Blackpoint stellt eine kleine Auswahl host-basierter Kompromittierungsindikatoren bereit. Dazu gehören ein Hash-Wert für RoadK1ll sowie eine IP-Adresse, die von den Angreifern zur Kommunikation mit dem Implant genutzt wurde.
