Novo implante RoadK1ll usa WebSocket para pivotar em redes comprometidas
Implante RoadK1ll em Node.js usa túnel WebSocket de saída para pivotar em redes comprometidas e ampliar movimentação lateral sem listener inbound.
Pesquisadores identificaram o RoadK1ll, um implante em Node.js que cria um túnel reverso via WebSocket para transformar um host comprometido em ponto de pivot dentro da rede. O truque: tudo sai por conexão de saída, evitando listener inbound e reduzindo alertas.
O que é
- Implante em Node.js voltado para movimentação lateral.
- Usa WebSocket como canal de controle e túnel reverso persistente.
Como funciona
- O host comprometido inicia a conexão de saída com a infraestrutura do atacante.
- O túnel aceita múltiplas conexões simultâneas, permitindo acesso a serviços internos.
Por que isso importa
- Facilita acesso a segmentos internos “invisíveis” para a internet.
- Reduz alertas baseados em portas abertas, já que o tráfego é iniciado de dentro.
- WebSocket costuma passar por proxies e inspeções menos rigorosas.
Mitigação imediata
- Endurecer egress (allowlist de destinos/portas).
- Monitorar processos Node.js não autorizados em endpoints.
- Segmentar redes e limitar acesso lateral de hosts de usuário.
O que monitorar
- Tráfego WebSocket anômalo para domínios recém-criados.
- Conexões persistentes de estações para IPs incomuns.
- Correlação entre logins e criação de túneis.
Fonte: https://www.bleepingcomputer.com/news/security/new-roadk1ll-websocket-implant-used-to-pivot-on-breached-networks/
