逆向了运营商定制无线路由器/光猫里的间谍软件
原帖:https://www.v2ex.com/t/1104332朋友之前从某电商购买运营商定制无线路由器一台。怎奈用起来不稳定,间歇性自重启。
一番研究后,发现高资源占用导致 kernel panic ;并提取了名为 `CuInformLoader` 和 `CuInform-inner` 的插件。
朋友请求看看这插件是个什么幺蛾子。元旦假期心血来潮,开工。
于是在下 IDA 启动,一看……开幕即暴击……
> !(https://i.imgur.com/jdtOcKP.jpeg)
嗯?`dpi` 是什么意思呢?
以「 maxnet dpi 」为关键词检索,不难发现其供应商主体——**苏州迈科网络安全技术股份有限公司**。
浏览其官网,发现了对此产品的介绍。
> 迈科网络的网络可视化插件目前已经广泛应用于各类网络组网设备,包括商业 WiFi 、家庭网关、家庭路由器、企业网关、FTTR 等,累计适配的设备设备型号超过 500+,并且该数字还在不断增长。 !(https://i.imgur.com/Xa0Zq91.png)
> !(https://i.imgur.com/cW4M4aG.png) !(https://i.imgur.com/sw8mnES.png)
云端特征库,多维探测技术——支持主动探测和被动采集,终端识别技术,边缘计算技术,厉害捏!
这下知道那一堆 MSS 1400 、Window 29200 、源自各地家宽 IP 地址的主动探测包是谁发的了吧。参考: https://github.com/shadowsocks/shadowsocks-rust/discussions/888#discussioncomment-7521840 .
至此,在下已心里有数,顿觉索然无味起来。
粗略地看了看伪代码,最引人注目的部分为,读配置后,用 lua 脚本周期性地从终端采集
- http
- https
- dns
- 设备信息
- 拓扑
- 元组
上报至 `sjcj.smarthome.chinaunicom[.]cn:7890` 或 `sjcj.smarthome.chinaunicom[.]cn:7443`。
这下~~知道运营商可视化后台的数据来源了吧。~~不良林观众成天念叨的 dns 泄露确实是个问题了(笑
依据间谍软件的通用定义,间谍软件是秘密记录计算机活动的软件( Spyware is software that can secretly record your activity on your computer ),故,此插件为间谍软件,以联通智慧物联的名义。
而后,朋友检查了某运营商定制光猫,果然也发现了 `CuInform` 的踪迹。
而且,光猫 `CuInform` 的配置文件含有私有地址,表示可通过 TR069 通道上报,对应桥接场景。
------
一些可能有用的信息:
1. 加载器具有执行权限。
2. 插件设有启动标志文件,路径大概是 `CuInform/enable`。
3. 可用 bind mount 覆盖只读目录。 真是牛,老早就怀疑了,唉,普通人对此无能为力。
页:
[1]