Das Forschungsteam von Cisco Talos hat mit DKnife ein vielseitiges Linux-Framework entdeckt, das seit mindestens 2019 für verdeckte Man-in-the-Middle-(MitM)-Angriffe auf Router und Gateways eingesetzt wird. Kompromittierte Netzwerkgeräte verwandeln sich damit in verborgene Angriffsplattformen für Traffic-Manipulation, Malware-Verteilung und Datendiebstahl – oft ohne sichtbare Störungen im Betrieb.
Was ist DKnife? Linux-MitM-Framework im Kern der Netzwerkinfrastruktur
Bei DKnife handelt es sich um ein Post-Exploitation-Framework für Linux, das gezielt Netzwerkinfrastruktur wie Router, Edge-Gateways und andere Knotenpunkte angreift, über die großer Teil des Benutzerverkehrs läuft. Im Gegensatz zu klassischer Malware, die Endgeräte kompromittiert, setzt DKnife dort an, wo der gesamte Datenstrom zusammenläuft.
Nach erfolgreicher Installation erlaubt DKnife den Angreifern, Netzwerkpakete transparent abzufangen, zu analysieren und zu verändern. Die Kommunikation zwischen Nutzer und legitimer Zielseite wird unbemerkt über ein vom Angreifer kontrolliertes System geleitet. So können etwa Downloads manipuliert, Zugangsdaten abgegriffen oder zusätzliche Schadsoftware eingeschleust werden – ohne dass Nutzer oder Administratoren unmittelbar Unregelmäßigkeiten bemerken.
Architektur von DKnife: Module für Deep Packet Inspection und Traffic-Manipulation
Zentrale Komponenten: DPI-Engine und HTTPS-Proxy
Analyseergebnisse von Cisco Talos zeigen, dass DKnife aus mindestens sieben modularen Linux-Binaries besteht, die jeweils definierte Aufgaben im Angriffsablauf übernehmen. Der Kernprozess dknife.bin implementiert eine Deep Packet Inspection (DPI)-Engine: Er untersucht den durchlaufenden Traffic, wendet Angrifflogik an und extrahiert relevante Daten für die Angreifer.
Die Kommunikation mit der Command-and-Control-(C2)-Infrastruktur wird über postapi.bin abgewickelt, das als Relais zwischen dknife.bin und den Steuerungsservern fungiert. Für verschlüsselten Datenverkehr kommt sslmm.bin zum Einsatz – ein angepasstes Reverse-Proxy-Modul auf Basis von HAProxy. Es ermöglicht, HTTPS-Sitzungen unauffällig zu proxyen und Inhalte auszutauschen, ohne SSL/TLS-Fehler zu verursachen, die Nutzer misstrauisch machen könnten.
TAP-Interface, P2P-VPN und persistente Verteilung
Ein besonders kritischer Bestandteil ist yitiji.bin. Dieses Modul legt auf dem kompromittierten Router ein virtuelles TAP-Netzwerkinterface mit der privaten Adresse 10.3.3.3 an. Darüber schaltet sich DKnife direkt in den lokalen Datenpfad ein, um Pakete „on the fly“ umzuschreiben und gezielt über die Infrastruktur der Angreifer zu routen.
Für dauerhaften Fernzugriff verwendet DKnife das Modul remote.bin, das einen P2P-VPN-Client auf Basis von n2n bereitstellt. So können Angreifer kompromittierte Router selbst hinter NAT oder Firewalls erreichen. mmdown.bin ist auf die Verteilung manipulierter Android-APK-Dateien spezialisiert, während dkupdate.bin für Installation, Roll-out und Updates des gesamten Frameworks verantwortlich ist und so langfristige Persistenz sicherstellt.
Verbindung zu chinesischen APT-Gruppen und dem Framework Spellbinder
Mehrere technische Indikatoren sprechen laut Cisco Talos für ein chinesisches Ursprungsumfeld von DKnife. Im Code finden sich Strings in vereinfachtem Chinesisch, sowohl in Komponentenbezeichnungen als auch in Kommentaren. Zudem richtet sich ein wesentlicher Teil der Angrifflogik gegen chinesische Onlinedienste, darunter Mail-Provider, mobile Anwendungen, Mediendomains und insbesondere Nutzer der WeChat-Ökosysteme.
DKnife wird genutzt, um bekannte Backdoors wie ShadowPad und DarkNimbus (DarkNights) auf Windows-Systemen nachzuladen – Werkzeuge, die bereits in früheren Analysen mit chinesischen APT- und Cybercrime-Gruppen in Verbindung gebracht wurden. In dokumentierten Fällen wurde ShadowPad über DKnife in den Windows-Traffic eingespeist, dabei mit einem Zertifikat einer chinesischen Firma signiert, und anschließend DarkNimbus nachgeladen.
Hinzu kommt, dass auf derselben C2-Infrastruktur wie DKnife der Backdoor WizardNet beobachtet wurde, der von ESET beschrieben und mit dem MitM-Framework Spellbinder assoziiert wurde. DarkNimbus gilt wiederum als Produkt der chinesischen Firma UPSEC, die von mehreren Sicherheitsanalysen mit der APT-Gruppe TheWizards verknüpft wird – den Betreibern von Spellbinder. Die Übereinstimmung von Taktiken, Techniken und Prozeduren (TTPs) legt nahe, dass DKnife und Spellbinder zum selben oder einem eng verwandten Bedrohungscluster gehören.
Angriffsszenarien: Von kompromittierten Routern bis zur WeChat-Überwachung
Neben der Verteilung von Malware besitzt DKnife weitreichende Fähigkeiten zur Überwachung und Exfiltration sensibler Daten. Ein besonderer Fokus liegt laut den Analysen auf der Plattform WeChat: Das Framework kann Metadaten und Inhalte von Sprach- und Videoanrufen, Textnachrichten, übertragenen Bildern sowie Artikeln, die innerhalb von WeChat aufgerufen werden, erfassen.
Aktivitätsdaten werden zunächst zwischen den internen Modulen von DKnife aggregiert und anschließend in HTTP-POST-Anfragen verpackt an die C2-Server übertragen. Diese Tarnung als regulärer Web-Traffic erschwert die Erkennung durch klassische Monitoring- und Security-Lösungen erheblich, insbesondere wenn diese primär auf Endpunkte und nicht auf Netzwerkperimeter fokussiert sind.
Risiken für Organisationen und praktische Schutzmaßnahmen
DKnife verdeutlicht einen klaren Trend in der Angriffsentwicklung: Der Schwerpunkt verlagert sich von Endgeräten auf Router, Firewalls und Gateways. Wird ein zentraler Netzwerkrouter kompromittiert, kann der Angreifer das gesamte interne Segment beobachten oder manipulieren, ohne jeden einzelnen Host angreifen zu müssen. Traditionelle Schutzmaßnahmen, die primär auf Workstations und Server ausgerichtet sind, greifen hier nur bedingt.
Organisationen sollten die Sicherheit ihrer Netzwerkgeräte daher konsequent stärken. Dazu gehören regelmäßige Firmware-Updates von Routern und Firewalls, das Deaktivieren nicht benötigter Remote-Management-Schnittstellen, die Absicherung von Admin-Zugängen mit Multi-Faktor-Authentifizierung und strenge Zugriffskontrollen aus externen Netzen.
Ebenso wichtig ist der Einsatz von Netzwerk-Monitoring- und Intrusion-Detection-Systemen (NIDS/NIPS), die auf anomales Verhalten achten: unerwartete virtuelle TAP-Interfaces, ungewöhnlichen P2P-VPN-Traffic, unerklärliche Tunnelverbindungen oder verdächtige HTTP-POST-Kommunikation zu unbekannten Hosts. Logging, Segmentierung und eine klare Network-Access-Policy erhöhen zusätzlich die Hürden für Angreifer.
Angesichts der Verbindung von DKnife zu fortgeschrittenen APT-Gruppen und seiner Fähigkeit, populäre Dienste wie WeChat unbemerkt zu überwachen, sollten Unternehmen und Privatanwender die Sicherheit von Heim- und Unternehmensroutern kritisch überprüfen, Standardkonfigurationen meiden und Sicherheitsstrategien regelmäßig anpassen. Wer seine Verteidigung konsequent vom Endpunkt auf den Netzwerkperimeter ausweitet, reduziert das Risiko, dass Frameworks wie DKnife unentdeckt im Hintergrund den gesamten Datenverkehr kontrollieren.
