Добавить в корзинуПозвонить
Найти в Дзене
iTech News — IT-новости коротко
106 подписчиков

Новый вредонос RoadK1ll использует WebSocket для скрытого доступа к сетям

1 мин
Были замечены новые угрозы для сетевой безопасности: вредонос RoadK1ll позволяет злоумышленникам скрытно перемещаться по скомпрометированным сетям, создавая прямые соединения через WebSocket. Это значительно повышает риски для организаций, так как позволяет атакующим расширять своё влияние без заметного вмешательства. RoadK1ll был обнаружен во время инцидента в компании Blackpoint, занимающейся управляемым обнаружением и реагированием на угрозы. Этот вредонос является легковесным реверсивным туннелем, который маскируется под нормальную сетевую активность. Он использует стандартные порты и соединения, что затрудняет его обнаружение. Вредоносным образом RoadK1ll устанавливает исходящее соединение с инфраструктурой атакующего. Это обеспечивает два ключевых преимущества: скрытность и возможность использовать сеть для передачи трафика, который может находиться за пределами внешних защитных механизмов. Как отмечает Blackpoint, такая схема позволяет обходить существующие периметрические контр
Оглавление

Были замечены новые угрозы для сетевой безопасности: вредонос RoadK1ll позволяет злоумышленникам скрытно перемещаться по скомпрометированным сетям, создавая прямые соединения через WebSocket. Это значительно повышает риски для организаций, так как позволяет атакующим расширять своё влияние без заметного вмешательства.

Краткий обзор угрозы

RoadK1ll был обнаружен во время инцидента в компании Blackpoint, занимающейся управляемым обнаружением и реагированием на угрозы. Этот вредонос является легковесным реверсивным туннелем, который маскируется под нормальную сетевую активность. Он использует стандартные порты и соединения, что затрудняет его обнаружение.

Как работает RoadK1ll

Вредоносным образом RoadK1ll устанавливает исходящее соединение с инфраструктурой атакующего. Это обеспечивает два ключевых преимущества: скрытность и возможность использовать сеть для передачи трафика, который может находиться за пределами внешних защитных механизмов. Как отмечает Blackpoint, такая схема позволяет обходить существующие периметрические контроллеры безопасности, так как все запросы исходят от скомпрометированной машины.

RoadK1ll поддерживает одновременно несколько соединений и использует команды для управления активностью. Например, команда CONNECT открывает TCP-соединение с указанным хостом, что позволяет злоумышленнику связываться с внутренними ресурсами. При этом инструмент не требует традиционных методов устойчивости, таких как использование ключей реестра или запланированных задач — он действует, пока его процесс активен.

Угрозы для бизнеса

Для организаций, работающих в условиях высокой конкурентности, появление таких вредоносных инструментов, как RoadK1ll, сигнализирует о необходимости ужесточения мер безопасности. Особенно это актуально для компаний, которые размещают критически важные данные в своих сетях. Необходимо пересмотреть стратегию киберзащиты и инвестировать в отклик на инциденты, чтобы эффективно противостоять подобным угрозам.

Следующий шаг за профессионалами в области безопасности — эффективная интеграция средств мониторинга и защиты, чтобы предотвратить использование подобных вредоносных инструментов в будущем.

The post Новый вредонос RoadK1ll использует WebSocket для скрытого доступа к сетям appeared first on iTech News.