Giriş
Siber güvenlik araştırmacıları, 2019’dan beri Çin bağlantılı tehdit aktörleri tarafından işletilen DKnife adlı bir gateway izleme ve adversary-in-the-middle (AitM) çerçevesini gün yüzüne çıkardılar. Bu çerçeve, daha çok Çince konuşan kullanıcıları hedef alarak, derin paket inceleme, trafik manipülasyonu ve kötü amaçlı yazılım dağıtımı gibi işlevleri yerine getiriyor.
Saldırı Nasıl Çalışıyor?
DKnife, Linux tabanlı yedi bileşenden oluşuyor. Bu bileşenler, aşağıdaki işlevleri gerçekleştirmek için tasarlanmıştır:
- dknife.bin – Derin paket inceleme, kullanıcı etkinlik raporlaması, ikili indirme kaçırma ve DNS kaçırma işlemlerini yapılandırır.
- postapi.bin – DKnife’den gelen trafiği alarak uzak C2 sunucularına raporlayan bir veri raporlama modülüdür.
- sslmm.bin – TLS sonlandırması, e-posta şifre çözme ve URL yönlendirmesi yapan bir ters proxy modülüdür.
- mmdown.bin – Saldırı için kullanılan APK’ları indirmek üzere önceden belirlenmiş bir C2 sunucusuna bağlanan bir güncelleme modülüdür.
- yitiji.bin – Saldırganın enjekte ettiği LAN trafiğini yönlendirmek için bir köprülenmiş TAP arayüzü oluşturan bir paket iletim modülüdür.
- remote.bin – Uzak C2 ile iletişim kanalı oluşturan bir P2P VPN istemci modülüdür.
- dkupdate.bin – Diğer bileşenleri canlı tutan bir güncelleme ve izleme modülüdür.
Etkilenen Sistemler
DKnife, aşağıdaki sistem ve cihazları hedef alıyor:
- PC'ler
- Mobil cihazlar
- IoT cihazları
Cisco Talos araştırmacısı olan Ashley Shen, “DKnife, ShadowPad ve DarkNimbus arka kapıları ile etkileşimde bulunmakta ve ikili indirmeleri ve Android uygulama güncellemelerini kaçırmakta” dedi.
Çözüm ve Korunma
Bu tehditin etkilerini azaltmak için aşağıdaki önlemleri almanız önerilir:
- İşletim sisteminizi ve yazılımlarınızı düzenli olarak güncelleyin, kesinlikle güncel sürümler kullanın.
- Güvenlik duvarı ve ağ güvenliği önlemleri alın, gereksiz portları kapatın.
- Kötü amaçlı yazılımlara karşı koruma sağlayan güvenlik yazılımları kullanın.
- İnternette gezinirken dikkatli olun, şüpheli bağlantılara tıklamayın.
Siber tehditlerin karmaşıklığı artırıldıkça, bu tür araçların ve saldırı yöntemlerinin anlaşılması çok önemlidir. Sonuç olarak, cihazlarınızı korumak için yukarıda belirtilen önlemleri almalı ve düzenli olarak güvenlik güncellemelerini yapmalısınız.
