思科 Talos 近日揭露一個名為
DKnife 的惡意軟體框架,自 2019 年起持續暗中運作至今,專門針對路由器與邊緣裝置發動中間人攻擊,主要鎖定中文使用者。
研究人員最初是在追蹤與 MOONSHINE 漏洞利用工具包相關的 DarkNimbus 後門程式時,意外發現這個功能完整的閘道監控框架。其 C2(指揮與控制)伺服器直到 2026 年 1 月仍在活躍運作,顯示攻擊者至今仍持續管理著受感染裝置網路。研究人員根據程式碼語言、配置檔案內容,以及攻擊活動中部署的 ShadowPad 惡意軟體等多項證據,
高度確信 DKnife 由中國相關威脅組織開發與操作。
七個模組協同運作的攻擊架構
DKnife 是一個基於 Linux(x86-64 架構)的框架,專為閘道層級攻擊設計,
由七個 ELF 二進位檔案組成,協同執行深度封包檢測(DPI)、流量攔截與惡意載荷投放等任務。七個模組各司其職,共同構成一套完整的攻擊鏈:
- dknife.bin:主要引擎,負責讀取並分析流經裝置的所有資料內容
- sslmm.bin:反向代理伺服器,能解密 HTTPS 安全連線,進而竊取電子郵件帳號密碼
- mmdown.bin:專門攔截合法的 App 更新請求,並將其替換為惡意 Android 安裝檔
- yitiji.bin(取自中文「一體機」):在路由器上建立隱藏網路,在不觸發警報的情況下導引惡意流量
- remote.bin:建立私密 VPN 通道,供攻擊者隨時進行遠端存取
- postapi.bin:擔任回報程式,將竊取的資料與事件記錄持續回傳至攻擊者的 C2 伺服器
- dkupdate.bin:監控模組,確保上述所有元件持續穩定運作並保持更新
這套模組化設計讓攻擊者能靈活調整部署方式,同時大幅提升了整體框架的隱蔽性與韌性。
不只竊資,更是全面監聽工具
DKnife 的威脅遠不止於竊取帳號密碼。研究人員發現,它能追蹤 WeChat 與 Signal 等通訊應用程式的活動,包括視訊通話與訊息傳遞內容,實質上扮演著監聽工具的角色。
它的攻擊手法尤其狡猾,透過劫持使用者對應用程式更新的信任,當受感染的邊緣裝置攔截到合法更新請求時,便立即以惡意載荷取而代之。由於整個攻擊發生在路由器層級,任何連接到受感染閘道的裝置,無論是個人電腦、手機或智慧家電,都可能在毫不知情的情況下受到波及。
為了維持長期潛伏,DKnife 還會主動識別來自 360 Total Security、騰訊電腦管家等安全程式的流量並予以中斷,阻止這些工具更新病毒碼或向使用者發出警報,確保自身能在受感染環境中長期存活。
威脅已擴散至多個國家
儘管 DKnife 的主要目標是中文使用者,但其影響範圍已明顯超出華語地區。
研究報告指出,DKnife 的基礎設施與另一個攻擊活動存在重疊,該活動會投放 WizardNet 模組化後門程式,並透過另一個中間人攻擊框架 Spellbinder 進行部署,相關活動足跡已延伸至菲律賓、柬埔寨與阿拉伯聯合大公國。此外,攻擊中使用的憑證有時來自四川齊御網路技術等中國公司,程式碼中也充滿簡體中文註解,這些都進一步強化了研究人員對幕後操作者身份的判斷。
思科 Talos 研究人員總結指出,DKnife 所呈現的是一個整合完善、持續演進的中間人攻擊框架與後門程式工具鏈,其長達七年的潛伏紀錄也再次突顯了對路由器與邊緣基礎設施進行持續監控的重要性。
如何降低風險
面對此類針對路由器層級的攻擊,資安專家建議採取以下措施:
- 定期更新路由器韌體至最新版本
- 停用路由器的遠端管理功能(此為攻擊者最常利用的入侵途徑)
- 加強對閘道層級裝置的監控與流量可視性
- 持續分析網路流量,留意異常行為
- 部署額外的網路安全防護措施,以偵測潛在的中間人攻擊
本文轉載自 InfosecurityMagazine、HACKRead。