DKnifeLinux工具包劫持路由器流量监测微信等应用进行间谍活动并传播恶意软件

admin
admin
admin
0
文章
0
评论
2026-02-08 00:40:15 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 自2019年起,名为DKnife的Linux工具包被用于劫持边缘设备流量实施间谍活动。该框架包含七个模块,具备深度包检测、流量操纵、凭证收集和恶意软件传播功能,明确针对中国服务如微信等,可监控通话、短信及用户活动。DKnife通过路由器部署ShadowPad和DarkNimbus后门,支持DNS劫持、APK植入及反病毒干扰。其C2服务器截至2026年1月仍活跃。 综合评分: 78 文章分类: 恶意软件,威胁情报,网络安全,移动安全,漏洞分析

cover_image

DKnife Linux 工具包劫持路由器流量监测微信等应用进行间谍活动并传播恶意软件

原创

ZM ZM

暗镜

2026年2月7日 10:50 北京

自 2019 年以来,一种名为 DKnife 的新发现的工具包已被用于在边缘设备级别劫持流量,并在间谍活动中传播恶意软件。

该框架作为入侵后的流量监控和中间人攻击(AitM)防御框架。它旨在拦截和操纵发往网络终端(计算机、移动设备、物联网设备)的流量。

Cisco Talos 的研究人员表示,DKnife 是一个 ELF 框架,包含七个基于 Linux 的组件,旨在进行深度包检测 (DPI)、流量操纵、凭证收集和恶意软件传播。

该恶意软件在组件名称和代码注释中加入了简体中文元素,并明确针对中国服务,例如电子邮件提供商、移动应用程序、媒体域名和微信用户。

研究人员无法确定网络设备是如何被入侵的,但发现 DKnife 会传播 ShadowPad 和DarkNimbus后门程序,并与它们进行交互。

DKnife 由七个模块组成,每个模块负责与 C2 服务器通信、转发或更改流量以及隐藏恶意流量来源相关的特定活动:

  • dknife.bin——负责数据包检查和攻击逻辑,它还会报告攻击状态、用户活动并发送收集到的数据。
  • postapi.bin – DKnife.bin 和 C2 服务器之间的中继组件
  • sslmm.bin – 基于 HAProxy 的自定义反向代理服务器
  • yitiji.bin – 在路由器上创建一个虚拟以太网接口(TAP),并将其桥接到局域网,以路由攻击者的流量。
  • remote.bin – 使用 n2n VPN 软件的点对点 VPN 客户端
  • mmdown.bin – 安卓 APK 文件恶意软件下载器和更新器
  • dkupdate.bin – DKnife 下载、部署和更新组件

研究人员在本周的一份报告中表示:“DKnife 的主要功能包括为后门提供更新 C2 服务器、DNS 劫持、劫持 Android 应用程序更新和二进制文件下载、提供 ShadowPad 和 DarkNimbus 后门、选择性地干扰安全产品流量以及将用户活动泄露到远程 C2 服务器。 ”

安装完成后,DKnife 使用其yitiji.bin组件在路由器上创建私有 IP 地址为 10.3.3.3 的桥接 TAP 接口(虚拟网络设备)。这使得攻击者能够拦截并重写传输到目标主机的网络数据包。

这样一来,DKnife 就可以用来将恶意 APK 文件通过网络传播到移动设备或 Windows 系统。

研究人员发现,DKnife 在 Windows 系统中投放了 ShadowPad 后门程序。随后,DKnife 又部署了 DarkNimbus 后门程序。在安卓设备上,该后门程序则由 DKnife 直接投放。

除了有效载荷输送外,DKnife 还具备以下能力:

  • DNS劫持
  • 劫持安卓应用更新
  • 劫持 Windows 二进制文件
  • 通过 POP3/IMAP 解密窃取凭证
  • 钓鱼页面托管
  • 反病毒流量中断
  • 监控用户活动,包括即时通讯应用(微信和Signal)使用情况、地图应用使用情况、新闻浏览量、通话活动、网约车和购物活动。

Cisco Talos 表示,微信活动可以通过更多分析方式进行跟踪,DKnife 可以监控语音和视频通话、短信、发送和接收的图像以及在平台上阅读的文章。

用户活动事件首先在 DKnife 的组件之间进行内部路由,然后通过 HTTP POST 请求泄露到特定的命令与控制 (C2) API 端点。

由于 DKnife 位于网关设备上,并在数据包通过时报告事件,因此可以实时监控用户活动并收集数据。

研究人员表示,截至2026年1月,DKnife C2服务器仍然处于活动状态。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:暗镜 ZM ZM《DKnife Linux 工具包劫持路由器流量监测微信等应用进行间谍活动并传播恶意软件》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
逻辑表达式 网络安全文章

逻辑表达式

文章总结: 本文介绍C语言中逻辑表达式的基本概念,说明逻辑表达式由逻辑运算符连接关系表达式或逻辑量构成,其值为true或false。重点阐述C语言编译系统的特性
02-080 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0