自 2019 年以来,一种名为 DKnife 的新发现的工具包已被用于在边缘设备级别劫持流量,并在间谍活动中传播恶意软件。
该框架作为入侵后的流量监控和中间人攻击(AitM)防御框架。它旨在拦截和操纵发往网络终端(计算机、移动设备、物联网设备)的流量。
Cisco Talos 的研究人员表示,DKnife 是一个 ELF 框架,包含七个基于 Linux 的组件,旨在进行深度包检测 (DPI)、流量操纵、凭证收集和恶意软件传播。
该恶意软件在组件名称和代码注释中加入了简体中文元素,并明确针对中国服务,例如电子邮件提供商、移动应用程序、媒体域名和微信用户。
研究人员无法确定网络设备是如何被入侵的,但发现 DKnife 会传播 ShadowPad 和DarkNimbus后门程序,并与它们进行交互。DKnife 由七个模块组成,每个模块负责与 C2 服务器通信、转发或更改流量以及隐藏恶意流量来源相关的特定活动:
- dknife.bin——负责数据包检查和攻击逻辑,它还会报告攻击状态、用户活动并发送收集到的数据。
- postapi.bin - DKnife.bin 和 C2 服务器之间的中继组件
- sslmm.bin - 基于 HAProxy 的自定义反向代理服务器
- yitiji.bin - 在路由器上创建一个虚拟以太网接口(TAP),并将其桥接到局域网,以路由攻击者的流量。
- remote.bin - 使用 n2n VPN 软件的点对点 VPN 客户端
- mmdown.bin - 安卓 APK 文件恶意软件下载器和更新器
- dkupdate.bin - DKnife 下载、部署和更新组件
研究人员在本周的一份报告中表示:“DKnife 的主要功能包括为后门提供更新 C2 服务器、DNS 劫持、劫持 Android 应用程序更新和二进制文件下载、提供 ShadowPad 和 DarkNimbus 后门、选择性地干扰安全产品流量以及将用户活动泄露到远程 C2 服务器。 ”
安装完成后,DKnife 使用其yitiji.bin组件在路由器上创建私有 IP 地址为 10.3.3.3 的桥接 TAP 接口(虚拟网络设备)。这使得攻击者能够拦截并重写传输到目标主机的网络数据包。
这样一来,DKnife 就可以用来将恶意 APK 文件通过网络传播到移动设备或 Windows 系统。
研究人员发现,DKnife 在 Windows 系统中投放了 ShadowPad 后门程序。随后,DKnife 又部署了 DarkNimbus 后门程序。在安卓设备上,该后门程序则由 DKnife 直接投放。
除了有效载荷输送外,DKnife 还具备以下能力:
- DNS劫持
- 劫持安卓应用更新
- 劫持 Windows 二进制文件
- 通过 POP3/IMAP 解密窃取凭证
- 钓鱼页面托管
- 反病毒流量中断
- 监控用户活动,包括即时通讯应用(微信和Signal)使用情况、地图应用使用情况、新闻浏览量、通话活动、网约车和购物活动。
Cisco Talos 表示,微信活动可以通过更多分析方式进行跟踪,DKnife 可以监控语音和视频通话、短信、发送和接收的图像以及在平台上阅读的文章。
用户活动事件首先在 DKnife 的组件之间进行内部路由,然后通过 HTTP POST 请求泄露到特定的命令与控制 (C2) API 端点。
由于 DKnife 位于网关设备上,并在数据包通过时报告事件,因此可以实时监控用户活动并收集数据。
研究人员表示,截至2026年1月,DKnife C2服务器仍然处于活动状态。
