DKnife AitM 框架

網路安全研究人員揭露了一種名為 DKnife 的複雜網關監控和中間人攻擊 (AitM) 框架，該框架被認為與中國有關聯的威脅行為者有關，並且至少從 2019 年起就已活躍。該框架專門用於在網路邊緣運行，能夠透過受感染的路由器和邊緣設備進行隱藏的流量檢查、操縱和惡意軟體傳播。

針對中文用戶的策略性目標定位

DKnife 似乎主要針對中文使用者。多項指標支持這項判斷，包括針對中國電子郵件服務商客製化的釣魚頁面、針對微信等中國常用行動應用的資料竊取模組，以及原始碼中硬編碼的中國媒體網域。然而，研究人員提醒，這一結論僅基於從單一命令與控制 (C2) 伺服器取得的設定文件，因此不排除存在針對其他地區的平行基礎設施的可能性。

與更廣泛的中國結盟威脅活動有關

該框架是在對一個名為「地球彌諾陶」（Earth Minotaur）的更廣泛的中國威脅集群進行調查時發現的，該集群與 MOONSHINE 漏洞利用工具包和 DarkNimbus（又名 DarkNights）後門程式有關。值得注意的是，另一個與中國結盟的高級持續性威脅組織「巫師」（TheWizards）也部署了 DarkNimbus。

基礎設施分析揭示了 DKnife 與 WizardNet 之間的重疊之處。 WizardNet 是 TheWizards 使用的 Windows 植入程序，透過名為 Spellbinder 的 AitM 框架進行部署，相關文件已於 2025 年 4 月公開。鑑於 TheWizards 已知針對柬埔寨、香港、中國大陸、菲律賓和阿聯酋的個人和賭博相關實體，這些關聯意義重大。

以 Linux 為中心的模組化架構

與 WizardNet 不同，DKnife 專為 Linux 環境設計，因此非常適合部署在路由器和邊緣設備上。該框架透過 ELF 下載器提供，並採用模組化設計，允許運營商選擇性地啟用從資料包轉發到完全流量攔截和操控等各種功能。

DKnife框架組件

• dknife.bin – 負責深度套件偵測、使用者活動監控、DNS劫持和二進位下載劫持的核心模組
• postapi.bin – 一個報告中繼，它接收從 DKnife 收集的資料並將其轉發到遠端 C2 伺服器。
• sslmm.bin – 一個修改過的 HAProxy 反向代理，用於 TLS 終止、電子郵件解密和 URL 重定向。

透過內聯解密竊取憑證

DKnife 包含專門用於竊取憑證的功能，尤其針對一家大型中國電子郵件服務供應商。 sslmm.bin 模組會提供用戶端攻擊者控制的 TLS 證書，終止並解密 POP3 和 IMAP 連接，並檢查產生的明文流量以提取使用者名稱和密碼。收集到的憑證會被相應地標記，傳遞給 postapi.bin，然後轉發到遠端 C2 伺服器進行收集和分析。

深度包偵測作為攻擊手段

該框架的核心是 dknife.bin，它支援深度套件檢測和即時流量分析。這項功能使運營商能夠在被動監控和主動內聯攻擊之間無縫切換，包括用惡意負載替換合法的軟體下載。

關鍵作戰能力

• 向 DarkNimbus 惡意軟體的 Android 和 Windows 版本分發更新後的 C2 配置
• 利用基於 DNS 的 IPv4 和 IPv6 劫持技術，重新導向與京東相關的網域流量
• 攔截並替換中國新聞、串流媒體、圖像編輯、電子商務、叫車、遊戲和成人視訊平台的安卓應用程式更新
• 透過劫持 Windows 和其他二進位檔案下載，利用 DLL 側載入方式植入 ShadowPad 後門，隨後載入 DarkNimbus。
• 包括360和騰訊產品在內的防毒軟體和系統管理軟體導致通訊中斷。
• 即時監控用戶行為，並按活動進行分類，例如訊息、語音和視訊通話、購物、新聞瀏覽、地圖搜尋、串流媒體、遊戲、約會、共乘和電子郵件使用。

對網路邊緣安全的影響

路由器和邊緣設備仍然是高階定向入侵攻擊中的高價值目標。隨著威脅行為者日益關注基礎設施的這一層，了解他們使用的工具和技術變得至關重要。 DKnife框架的曝光凸顯了現代攻擊入侵威脅的成熟度，這些威脅結合了深度套件偵測、流量操縱和客製化惡意軟體投放，能夠大規模地入侵各種類型的裝置。