DKnife: Nguy hiểm từ công cụ tấn công thiết bị biên

Một khung giám sát và tấn công tinh vi với tên gọi DKnife đã xuất hiện, đặt ra một mối đe dọa mạng đáng kể đối với an ninh mạng. Công cụ độc hại này được cho là do các tác nhân đe dọa tiên tiến triển khai, đặc biệt nhắm mục tiêu vào các bộ định tuyến và thiết bị biên dựa trên Linux. Bằng cách xâm nhập vào các cổng mạng quan trọng này, kẻ tấn công có thể thiết lập chỗ đứng bền vững trong cơ sở hạ tầng mục tiêu, cho phép chúng giám sát luồng dữ liệu và thao túng lưu lượng mạng với độ chính xác cao.

Phần mềm độc hại DKnife hoạt động như một khung Adversary-in-the-Middle (AitM) đầy đủ tính năng, được thiết kế để kiểm tra các gói mạng trong thời gian thực. Hoạt động từ ít nhất năm 2019, khung này phần lớn không bị phát hiện cho đến gần đây. Nó bao gồm nhiều thành phần phối hợp để chiếm đoạt các yêu cầu hợp pháp của người dùng, chẳng hạn như cập nhật phần mềm, và thay thế chúng bằng nội dung độc hại. Điều này cho phép kẻ tấn công cài đặt backdoor trên các thiết bị được kết nối với mạng bị xâm nhập mà người dùng không hề hay biết.

Phân tích kỹ thuật về DKnife và Cơ chế phát hiện

Các nhà phân tích của Cisco Talos đã xác định phần mềm độc hại DKnife trong quá trình điều tra phân phối backdoor DarkNimbus. Phân tích của họ tiết lộ rằng DKnife không chỉ là một công cụ giám sát thụ động mà còn là một nền tảng tấn công chủ động. Nó có khả năng chặn lưu lượng truy cập tới các dịch vụ cụ thể, đặc biệt là những dịch vụ phổ biến đối với người dùng, và tiêm payload độc hại.

Khám phá này nhấn mạnh các chiến thuật phát triển của các tác nhân đe dọa, những người đang ngày càng chuyển hoạt động của mình sang các thiết bị biên để tránh các biện pháp an ninh điểm cuối truyền thống. Việc nhắm mục tiêu vào các bộ định tuyến và thiết bị biên mang lại cho kẻ tấn công khả năng ẩn mình khỏi sự phát hiện dễ dàng hơn, vì các thiết bị này thường ít được giám sát chặt chẽ hơn so với các máy chủ hoặc điểm cuối truyền thống. Để biết thêm chi tiết về phân tích này, bạn có thể tham khảo báo cáo của Cisco Talos: Cisco Talos: Knife Cutting the Edge.

Tác động và Rủi ro bảo mật từ DKnife

Hậu quả của một sự lây nhiễm DKnife là rất sâu rộng. Khi một bộ định tuyến bị xâm nhập, mọi thiết bị được kết nối với nó đều trở thành mục tiêu tiềm năng. Phần mềm độc hại này có thể chọn lọc làm gián đoạn lưu lượng từ các sản phẩm chống vi-rút, ngăn chúng cập nhật hoặc liên lạc với máy chủ của chúng, từ đó làm suy yếu đáng kể khả năng phòng thủ của nạn nhân.

Ngoài ra, nó có thể thu thập dữ liệu nhạy cảm của người dùng, bao gồm thông tin xác thực và định danh thiết bị, biến cổng mạng thành một công cụ gián điệp toàn diện. Điều này làm tăng đáng kể nguy cơ hệ thống bị xâm nhập và rò rỉ dữ liệu quan trọng. Khả năng hoạt động tàng hình tại lớp mạng làm cho việc phát hiện và phản ứng với các cuộc tấn công của DKnife trở nên cực kỳ khó khăn.

Cơ chế chiếm đoạt và lây nhiễm payload của DKnife

Cốt lõi khả năng tấn công của khung DKnife là khả năng chiếm đoạt liền mạch các lượt tải xuống tệp nhị phân, một kỹ thuật đòi hỏi sự tinh vi trong việc thao tác lưu lượng mạng.

Engine Deep Packet Inspection (DPI)

Khung DKnife sử dụng một engine kiểm tra gói sâu (DPI) phức tạp, liên tục giám sát lưu lượng mạng để tìm kiếm các loại yêu cầu cụ thể. Các yêu cầu này có thể bao gồm cập nhật ứng dụng Android hoặc tải xuống tệp thực thi Windows. Khi một yêu cầu phù hợp được phát hiện, phần mềm độc hại sẽ chủ động can thiệp trước khi yêu cầu đến máy chủ hợp pháp. Sự tinh vi của engine DPI này cho phép nó phân tích nội dung gói tin ở cấp độ ứng dụng.

Quy trình chiếm đoạt tải xuống tệp nhị phân

Quá trình chiếm đoạt và tiêm nhiễm payload của DKnife bao gồm một số bước riêng biệt, được thực hiện một cách liền mạch để đánh lừa nạn nhân:

• Cổng mạng bị xâm nhập chặn yêu cầu manifest cập nhật ban đầu từ thiết bị nạn nhân.
• Yêu cầu này được kiểm tra đối chiếu với một tệp cấu hình cục bộ được kẻ tấn công thiết lập sẵn trên thiết bị biên.
• Nếu tìm thấy sự trùng khớp với các tiêu chí định sẵn, DKnife sẽ gửi một phản hồi giả mạo trở lại thiết bị của nạn nhân.
• Phản hồi giả mạo này chuyển hướng quá trình tải xuống đến một URL độc hại. URL này được lưu trữ trên một mạng nội bộ ảo do chính phần mềm độc hại tạo ra trên thiết bị biên bị chiếm đoạt.

Thành phần yitiji.bin và mạng nội bộ ảo

Mạng nội bộ ảo này được quản lý bởi một thành phần gọi là yitiji.bin. Thành phần này có nhiệm vụ tạo ra một giao diện cầu nối để định tuyến lưu lượng của kẻ tấn công, đảm bảo rằng các yêu cầu độc hại được xử lý nội bộ. Bằng cách giữ việc phân phối mã độc trong mạng cục bộ ảo này, kẻ tấn công tránh được các xung đột địa chỉ IP và giảm đáng kể nguy cơ bị phát hiện bởi các công cụ giám sát mạng bên ngoài, vốn thường tập trung vào lưu lượng ra vào mạng.

Cơ chế tàng hình này đảm bảo rằng nạn nhân tin rằng họ đang tải xuống một bản cập nhật hợp pháp, trong khi trên thực tế, họ đang cài đặt các backdoor như ShadowPad hoặc DarkNimbus. Việc này cấp cho kẻ tấn công toàn quyền kiểm soát thiết bị điểm cuối. Do đó, việc duy trì bảo mật mạng ở các thiết bị biên là cực kỳ quan trọng để chống lại các cuộc tấn công tinh vi như của DKnife.

Các Chỉ số Xâm nhập (IOCs) liên quan đến DKnife

Dựa trên phân tích về khung tấn công DKnife, các chỉ số xâm nhập sau đây có thể giúp các tổ chức phát hiện và ứng phó với sự hiện diện của phần mềm độc hại này:

• Tên thành phần độc hại: yitiji.bin (đóng vai trò quản lý mạng nội bộ ảo và định tuyến lưu lượng tấn công).
• Các loại backdoor thường được cài đặt sau khi xâm nhập thành công:
  • ShadowPad
  • DarkNimbus

Để tăng cường khả năng phòng thủ, các tổ chức nên triển khai các giải pháp giám sát mạng nâng cao, bao gồm cả kiểm tra gói sâu (DPI) ở các điểm trọng yếu. Việc thường xuyên kiểm tra tính toàn vẹn của phần mềm trên các thiết bị biên, áp dụng các bản vá bảo mật kịp thời và phân tích lưu lượng bất thường là rất quan trọng để phát hiện sớm các hoạt động đáng ngờ liên quan đến DKnife hoặc các mối đe dọa tương tự.