DKnife AitM கட்டமைப்பு

சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள் DKnife எனப்படும் அதிநவீன நுழைவாயில்-கண்காணிப்பு மற்றும் எதிரி-நடுத்தர (AitM) கட்டமைப்பை வெளிப்படுத்தியுள்ளனர், இது சீனா-நெக்ஸஸ் அச்சுறுத்தல் நடிகர்களால் கூறப்படுகிறது மற்றும் குறைந்தது 2019 முதல் செயலில் உள்ளது. இந்த கட்டமைப்பு நெட்வொர்க் விளிம்பில் செயல்படுவதற்காக வடிவமைக்கப்பட்டுள்ளது, இது சமரசம் செய்யப்பட்ட ரவுட்டர்கள் மற்றும் எட்ஜ் சாதனங்கள் மூலம் இரகசிய போக்குவரத்து ஆய்வு, கையாளுதல் மற்றும் தீம்பொருள் விநியோகத்தை செயல்படுத்துகிறது.

சீன மொழி பேசும் பயனர்களை குறிவைக்கும் மூலோபாயம்

DKnife முதன்மையாக சீன மொழி பேசும் பயனர்களை இலக்காகக் கொண்டதாகத் தெரிகிறது. இந்த மதிப்பீடு சீன மின்னஞ்சல் வழங்குநர்களுக்காக வடிவமைக்கப்பட்ட ஃபிஷிங் பக்கங்கள், WeChat போன்ற பரவலாகப் பயன்படுத்தப்படும் சீன மொபைல் பயன்பாடுகளில் கவனம் செலுத்தும் தரவு வெளியேற்ற தொகுதிகள் மற்றும் மூலக் குறியீட்டிற்குள் சீன ஊடக களங்களுக்கான கடின-குறியிடப்பட்ட குறிப்புகள் உள்ளிட்ட பல குறிகாட்டிகளால் ஆதரிக்கப்படுகிறது. இருப்பினும், இந்த முடிவு ஒற்றை கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்திலிருந்து பெறப்பட்ட உள்ளமைவு கோப்புகளை அடிப்படையாகக் கொண்டது, இது பிற பகுதிகளுக்கு ஏற்ற இணையான உள்கட்டமைப்புகளின் சாத்தியத்தைத் திறந்து விடுகிறது என்று ஆராய்ச்சியாளர்கள் எச்சரிக்கின்றனர்.

பரந்த சீனா-இணைந்த அச்சுறுத்தல் நடவடிக்கைக்கான உறவுகள்

MOONSHINE சுரண்டல் கருவி மற்றும் DarkNimbus (DarkNights என்றும் அழைக்கப்படுகிறது) பின்புறக் கதவுடன் தொடர்புடைய, Earth Minotaur என கண்காணிக்கப்பட்ட ஒரு பரந்த சீன அச்சுறுத்தல் கிளஸ்டரின் விசாரணையின் போது இந்த கட்டமைப்பு கண்டுபிடிக்கப்பட்டது. குறிப்பாக, DarkNimbus, TheWizards எனப்படும் மற்றொரு சீனாவுடன் இணைந்த மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல் குழுவால் பயன்படுத்தப்பட்டுள்ளது.

உள்கட்டமைப்பு பகுப்பாய்வு, DKnife மற்றும் Wizards ஆல் பயன்படுத்தப்படும் Windows இம்ப்லாண்ட் ஆன WizardNet ஆகியவற்றுக்கு இடையேயான ஒன்றுடன் ஒன்று தொடர்புடையதை வெளிப்படுத்தியது. இது Spellbinder எனப்படும் AitM கட்டமைப்பின் மூலம் ஏப்ரல் 2025 இல் பகிரங்கமாக ஆவணப்படுத்தப்பட்டது. TheWizards கம்போடியா, ஹாங்காங், சீனா, பிலிப்பைன்ஸ் மற்றும் ஐக்கிய அரபு எமிரேட்ஸ் முழுவதும் தனிநபர்கள் மற்றும் சூதாட்டம் தொடர்பான நிறுவனங்களை இலக்காகக் கொண்டதாக அறியப்பட்டதைக் கருத்தில் கொண்டு இந்த இணைப்புகள் குறிப்பிடத்தக்கவை.

லினக்ஸ்-மையப்படுத்தப்பட்ட, மாடுலர் கட்டமைப்பு

WizardNet போலல்லாமல், DKnife குறிப்பாக Linux-அடிப்படையிலான சூழல்களுக்காக வடிவமைக்கப்பட்டுள்ளது, இது ரூட்டர்கள் மற்றும் எட்ஜ் சாதனங்களில் பயன்படுத்துவதற்கு மிகவும் பொருத்தமானதாக அமைகிறது. இந்த கட்டமைப்பு ELF பதிவிறக்கி வழியாக வழங்கப்படுகிறது மற்றும் ஒரு மட்டு வடிவமைப்பைப் பயன்படுத்துகிறது, இது ஆபரேட்டர்கள் பாக்கெட் பகிர்தல் முதல் முழு போக்குவரத்து இடைமறிப்பு மற்றும் கையாளுதல் வரையிலான திறன்களைத் தேர்ந்தெடுத்து செயல்படுத்த அனுமதிக்கிறது.

DKnife கட்டமைப்பு கூறுகள்

• dknife.bin – ஆழமான பாக்கெட் ஆய்வு, பயனர் செயல்பாட்டு கண்காணிப்பு, DNS ஹைஜாக்கிங் மற்றும் பைனரி டவுன்லோட் ஹைஜாக்கிங் ஆகியவற்றிற்கு பொறுப்பான முக்கிய தொகுதி.
• postapi.bin – DKnife இலிருந்து சேகரிக்கப்பட்ட தரவைப் பெற்று தொலைதூர C2 சேவையகங்களுக்கு அனுப்பும் ஒரு அறிக்கையிடல் ரிலே.
• sslmm.bin – TLS முடித்தல், மின்னஞ்சல் மறைகுறியாக்கம் மற்றும் URL திருப்பிவிடலுக்குப் பயன்படுத்தப்படும் மாற்றியமைக்கப்பட்ட HAProxy தலைகீழ் ப்ராக்ஸி.

இன்லைன் டிக்ரிப்ஷன் மூலம் நற்சான்றிதழ் அறுவடை

DKnife, குறிப்பாக ஒரு பெரிய சீன மின்னஞ்சல் வழங்குநரை குறிவைத்து, நற்சான்றிதழ் திருட்டுக்கான பிரத்யேக செயல்பாட்டை உள்ளடக்கியது. sslmm.bin தொகுதி, தாக்குபவர்களால் கட்டுப்படுத்தப்படும் TLS சான்றிதழ்களை வாடிக்கையாளர்களுக்கு வழங்குகிறது, POP3 மற்றும் IMAP இணைப்புகளை முடித்து மறைகுறியாக்குகிறது, மேலும் பயனர்பெயர்கள் மற்றும் கடவுச்சொற்களைப் பிரித்தெடுக்க அதன் விளைவாக வரும் எளிய உரை போக்குவரத்தை ஆய்வு செய்கிறது. அறுவடை செய்யப்பட்ட நற்சான்றிதழ்கள் அதற்கேற்ப லேபிளிடப்பட்டு, postapi.bin க்கு அனுப்பப்பட்டு, சேகரிப்பு மற்றும் பகுப்பாய்விற்காக தொலைதூர C2 சேவையகங்களுக்கு அனுப்பப்படுகின்றன.

தாக்குதல் செயல்படுத்தியாக ஆழமான பாக்கெட் ஆய்வு

இந்த கட்டமைப்பின் மையத்தில் dknife.bin உள்ளது, இது விரிவான ஆழமான பாக்கெட் ஆய்வு மற்றும் நிகழ்நேர போக்குவரத்து பகுப்பாய்வை செயல்படுத்துகிறது. இந்த திறன், செயலிழந்த கண்காணிப்பு மற்றும் செயலில் உள்ள இன்-லைன் தாக்குதல்களுக்கு இடையில் ஆபரேட்டர்கள் தடையின்றி மாற அனுமதிக்கிறது, இதில் முறையான மென்பொருள் பதிவிறக்கங்களை தீங்கிழைக்கும் பேலோடுகளுடன் மாற்றுவதும் அடங்கும்.

முக்கிய செயல்பாட்டு திறன்கள்

• டார்க்நிம்பஸ் தீம்பொருளின் ஆண்ட்ராய்டு மற்றும் விண்டோஸ் வகைகளுக்கு புதுப்பிக்கப்பட்ட C2 உள்ளமைவுகளின் விநியோகம்.
• JD.com தொடர்பான டொமைன்களுடன் தொடர்புடைய போக்குவரத்தை திருப்பிவிட IPv4 மற்றும் IPv6 இரண்டிலும் DNS-அடிப்படையிலான கடத்தல்.
• சீன செய்திகள், ஸ்ட்ரீமிங் மீடியா, பட எடிட்டிங், மின் வணிகம், சவாரி-வணக்கம், கேமிங் மற்றும் வயது வந்தோருக்கான வீடியோ தளங்களுக்கான ஆண்ட்ராய்டு பயன்பாட்டு புதுப்பிப்புகளை இடைமறித்து மாற்றுதல்.
• DLL பக்க-ஏற்றுதல் வழியாக ShadowPad பின்புறத்தை வழங்க விண்டோஸ் மற்றும் பிற பைனரி பதிவிறக்கங்களை கடத்துதல், பின்னர் DarkNimbus ஐ ஏற்றுதல்.
• 360 மற்றும் டென்சென்ட் தயாரிப்புகள் உட்பட வைரஸ் தடுப்பு மற்றும் கணினி மேலாண்மை மென்பொருளிலிருந்து தகவல்தொடர்புகளில் இடையூறு.
• செய்தி அனுப்புதல், குரல் மற்றும் வீடியோ அழைப்புகள், ஷாப்பிங், செய்தி நுகர்வு, வரைபடத் தேடல்கள், ஸ்ட்ரீமிங், கேமிங், டேட்டிங், சவாரி-பகிர்வு மற்றும் மின்னஞ்சல் பயன்பாடு போன்ற செயல்பாடுகளில் வகைப்படுத்தப்பட்ட பயனர் நடத்தையின் நிகழ்நேர கண்காணிப்பு.

நெட்வொர்க் எட்ஜ் பாதுகாப்பிற்கான தாக்கங்கள்

மேம்பட்ட, இலக்கு வைக்கப்பட்ட ஊடுருவல் பிரச்சாரங்களில் ரூட்டர்கள் மற்றும் எட்ஜ் சாதனங்கள் தொடர்ந்து அதிக மதிப்புள்ள இலக்குகளை பிரதிநிதித்துவப்படுத்துகின்றன. அச்சுறுத்தல் நடிகர்கள் இந்த உள்கட்டமைப்பு அடுக்கில் அதிக கவனம் செலுத்துவதால், அவர்கள் பயன்படுத்தும் கருவிகள் மற்றும் நுட்பங்களைப் பற்றிய தெளிவு அவசியமாகிறது. DKnife கட்டமைப்பின் வெளிப்பாடு நவீன AitM அச்சுறுத்தல்களின் முதிர்ச்சியை அடிக்கோடிட்டுக் காட்டுகிறது, இது ஆழமான பாக்கெட் ஆய்வு, போக்குவரத்து கையாளுதல் மற்றும் வடிவமைக்கப்பட்ட தீம்பொருள் விநியோகத்தை இணைத்து பரந்த அளவிலான சாதன வகைகளை சமரசம் செய்கிறது.