DKnife Aracı: Tehdit ve Kullanım Alanları
Son yıllarda, DKnife adı verilen yeni bir araç, 2019’dan beri sınırda olan cihazlardan gelen trafiği ele geçirip zararlı yazılımlar dağıtmak için kullanılıyor. Bu durum, özellikle siber casusluk kampanyalarında önemli bir tehdit oluşturuyor.
Saldırı Nasıl Çalışıyor?
DKnife, trafik izleme ve “orta noktada düşman” (AitM) aktiviteleri için tasarlanmış bir çerçevedir. Cisco Talos araştırmacılarına göre, DKnife, derin paket incelemesi (DPI), trafik manipülasyonu, kimlik bilgisi toplama ve zararlı yazılım dağıtımı gibi işlevler sunan yedi Linux tabanlı bileşenden oluşan bir ELF çerçevesidir. DKnife, aşağıdaki bileşenlere sahiptir:
- dknife.bin – paket inceleme ve saldırı logiklerinden sorumlu, ayrıca saldırı durumu, kullanıcı aktiviteleri hakkında raporlar gönderir.
- postapi.bin – DKnife.bin ile C2 sunucuları arasında köprü görevi gören bileşen.
- sslmm.bin – HAProxy’den türetilmiş özel bir ters proxy sunucusu.
- yitiji.bin – yönlendiricide sanal bir Ethernet arayüzü (TAP) oluşturarak saldırganın trafiğini yönlendiren bileşen.
- remote.bin – n2n VPN yazılımını kullanan bir eşler arası VPN istemcisi.
- mmdown.bin – Android APK dosyalarını indirip güncelleyen zararlı yazılım indirici.
- dkupdate.bin – DKnife’i indiren, dağıtan ve güncelleyen bileşen.
DKnife, Java tabanlı ShadowPad ve DarkNimbus arka kapı bileşenleri ile etkileşimde bulunarak, doğrudan Android cihazlara zararlı yazılımlar sevk edebilir. Cihazlar üzerindeki etkileri, DKnife’in C2 sunucuları aracılığıyla kullanıcı aktivitelerinin sızıntısını içeriyor.
Etkilenen Sistemler
DKnife, aşağıdaki sistem ve uygulamalara yönelik tehditler oluşturmaktadır:
- DNS ele geçirme.
- Android uygulama güncellemelerinin ele geçirilmesi.
- Windows dosyalarının ele geçirilmesi.
- POP3/IMAP şifre çözme ile kimlik bilgisi toplama.
- Phishing sayfalarının barındırılması.
- Anti-virüs trafiğinin engellenmesi.
- Kullanıcı aktivitelerinin izlenmesi.
Cisco Talos’un araştırmalarına göre, DKnife ayrıca WeChat kullanıcılarının sesli ve görüntülü aramalarını, metin mesajlarını izleyerek, cihaza bağlı olan her türlü iletişimi takip edebilir.
Çözüm ve Korunma
DKnife ile ilgili tehditlerden korunmak için alınabilecek tedbirler şunlardır:
- Cihazlarınızı ve yazılımlarınızı düzenli olarak güncelleyin.
- Güvenlik duvarı ve ağ filtreleme sistemlerini etkin kullanın.
- Bilgi güvenliği eğitimlerine katılarak potansiyel tehditler hakkında farkındalığınızı artırın.
- Şüpheli aktiviteleri sürekli izleyin ve mümkünse güvenlik uzmanları ile çalışın.
Sonuç olarak, DKnife’in C2 sunucularının hala aktif olduğu göz önünde bulundurulduğunda, kullanıcıların sistemlerini güçlendirmeleri ve düzenli güncellemeler yapmaları kritik önem taşıyor.
