최근 Blackpoint가 발견한 RoadK1ll은 Node.js 기반의 악성 임플란트로, 공격자가 감염된 호스트를 통해 내부 네트워크의 다른 시스템으로 조용히 이동할 수 있도록 지원합니다. 이 악성코드는 커스텀 WebSocket 프로토콜을 사용하여 지속적으로 공격자와 통신하며, 감염된 시스템을 공격자의 릴레이 지점으로 변환합니다. 이를 통해 외부에서는 접근이 불가능한 내부 시스템, 서비스, 네트워크 세그먼트로의 접근이 가능해집니다.
RoadK1ll은 감염된 호스트에서 인바운드 리스너를 사용하지 않고, 아웃바운드 WebSocket 연결을 통해 공격자 인프라와 통신합니다. 이 연결은 TCP 트래픽을 내부 시스템으로 전달하는 터널 역할을 하며, 여러 목적지와 동시 통신도 지원합니다. 주요 명령어로는 CONNECT, DATA, CONNECTED, CLOSE, ERROR 등이 있으며, 이를 통해 공격자는 내부 서비스나 관리 인터페이스 등 외부에 노출되지 않은 시스템에 접근할 수 있습니다.
이 악성코드는 전통적인 영속성 메커니즘(레지스트리, 스케줄러, 서비스 등)을 사용하지 않고, 프로세스가 살아있는 동안만 동작합니다. 하지만 자동 재연결 기능을 통해 지속적인 접근이 가능하며, 은밀하고 효율적인 통신 구조로 설계되어 탐지가 어렵습니다. Blackpoint는 RoadK1ll의 해시값과 공격자와의 통신에 사용된 IP 주소 등 일부 침해 지표를 공개했습니다.
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.