Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
AI
Маркетинг
Сервисы
Личный опыт
Деньги
Крипто
Право
Инвестиции
Путешествия
Телеграм
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Александр Гользов
Техника

DKnife: Linux-фреймворк для перехвата трафика и доставки малвари на роутерах с 2019 года

Исследователи Talos Intelligence (Cisco) обнаружили мощный и скрытный Linux-фреймворк DKnife, который как минимум с 2019 года используется для внедрения на сетевом оборудовании (роутеры, шлюзы, межсетевые экраны) и проведения атак типа man-in-the-middle (MitM).

Основная цель — перехватывать трафик пользователей, подменять пакеты, красть учётные данные и незаметно доставлять вредоносное ПО (в первую очередь на Android-устройства).

Как работает DKnife Фреймворк состоит из семи специализированных Linux-компонентов, каждый отвечает за свою задачу:

  • dknife.bin — главный модуль: глубокая инспекция пакетов (DPI), логика атак, сбор данных и отправка на C2-серверы.
  • postapi.bin — ретранслятор между dknife.bin и управляющими серверами.
  • sslmm.bin — кастомный реверс-прокси на базе HAProxy для шифрования и маскировки трафика.
  • yitiji.bin — создаёт виртуальный TAP-интерфейс на устройстве жертвы и перенаправляет трафик через атакующего.
  • remote.bin — P2P VPN-клиент на базе n2n для удалённого доступа и управления.
  • mmdown.bin — загрузчик и установщик APK-вредоносов на Android-устройства.
  • dkupdate.bin — система обновления и распространения самого DKnife.

Как заражаются устройства DKnife внедряется на роутеры и шлюзы через уязвимости (чаще всего — слабые пароли, старые прошивки, открытые порты). После заражения он становится «прозрачным» MitM-прокси:

  • перехватывает HTTP/HTTPS-трафик,
  • подменяет страницы и файлы,
  • крадёт логины/пароли, cookies, сессии,
  • доставляет малварь (особенно APK для Android) путём подмены скачиваний.

Почему это опасно именно сейчас

  • Фреймворк существует уже 7 лет, но активно используется именно в 2025–2026 годах.
  • Атакующие научились обходить обнаружение антивирусами и системами мониторинга.
  • Основные жертвы — домашние роутеры и малый/средний бизнес в Азии, Восточной Европе, Латинской Америке.
  • Китайские и русскоязычные форумы уже продают готовые сборки DKnife с C2-панелями.

Что делать

  • Обновляйте прошивку роутера до последней версии.
  • Меняйте пароль админки на сложный и отключайте удалённое управление.
  • Используйте HTTPS Everywhere + DNS-over-HTTPS (DoH).
  • Проверяйте сертификаты сайтов (особенно при скачивании APK).
  • Для бизнеса — сегментируйте сеть и ставьте DPI/IDS с сигнатурами на MitM-атаки.

DKnife — это не просто малварь, а полноценный постэксплуатационный фреймворк для долгосрочного контроля над сетью. Пока он остаётся в тени, но если начнёт массово распространяться — ждите волну MitM-атак на бытовые устройства.

#DKnife #MitM #роутеры #малварь #кибербезопасность #крипто #PepeCryptoNews

1
Начать дискуссию