通信人家园

标题: 转载:逆向了运营商定制无线路由器/光猫里的采集软件  [查看完整版帖子] [打印本页]
时间:  2025-1-12 08:20
作者: youx     标题: 转载:逆向了运营商定制无线路由器/光猫里的采集软件

本帖最后由 youx 于 2025-1-12 08:21 编辑

转载:逆向了运营商定制无线路由器/光猫里的采集软件

转发自 网络id syswow64 写的帖子
原文链接 https://ww w.v2ex.com/t/1104332

朋友之前从某电商购买运营商定制无线路由器一台。怎奈用起来不稳定,间歇性自重启。
一番研究后,发现高资源占用导致 kernel panic ;并提取了名为 CuInformLoader 和 CuInform-inner 的插件。
朋友请求看看这插件是个什么幺蛾子。元旦假期心血来潮,开工。
于是在下 IDA 启动,一看……开幕即暴击……
01.jpeg

嗯?dpi 是什么意思呢?
以「 maxnet dpi 」为关键词检索,不难发现其供应商主体——苏州迈科网络安全技术股份有限公司。
浏览其官网,发现了对此产品的介绍。
迈科网络的网络可视化插件目前已经广泛应用于各类网络组网设备,包括商业 WiFi 、家庭网关、家庭路由器、企业网关、FTTR 等,累计适配的设备设备型号超过 500+,并且该数字还在不断增长。
02.png
03.png
04.png

云端特征库,多维探测技术——支持主动探测和被动采集,终端识别技术,边缘计算技术,厉害捏!
这下知道那一堆 MSS 1400 、Window 29200 、源自各地家宽 IP 地址的主动探测包是谁发的了吧。参考: https://github.com/shadowsocks/s ... sioncomment-7521840 .
至此,在下已心里有数,顿觉索然无味起来。
粗略地看了看伪代码,最引人注目的部分为,读配置后,用 lua 脚本周期性地从终端采集
http
https
dns
设备信息
拓扑
元组
上报至 sjcj.smarthome.chinaunicom[.]cn:7890 或 sjcj.smarthome.chinaunicom[.]cn:7443。
这下知道运营商可视化后台的数据来源了吧。不良林观众成天念叨的 dns 泄露确实是个问题了(笑
依据间谍软件的通用定义,间谍软件是秘密记录计算机活动的软件( Spyware is software that can secretly record your activity on your computer ),故,此插件为间谍软件,以联通智慧物联的名义。
而后,朋友检查了某运营商定制光猫,果然也发现了 CuInform 的踪迹。
而且,光猫 CuInform 的配置文件含有私有地址,表示可通过 TR069 通道上报,对应桥接场景。

一些可能有用的信息:
加载器具有执行权限。
插件设有启动标志文件,路径大概是 CuInform/enable。
可用 bind mount 覆盖只读目录。

附件: 01.jpeg (2025-1-12 08:18, 58.67 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NjY5MTc1fGJkMzE4OGM3fDE3Mzg1NzM2OTR8MHww

附件: 02.png (2025-1-12 08:18, 591.25 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NjY5MTc2fGMzZmMxNGJkfDE3Mzg1NzM2OTR8MHww

附件: 03.png (2025-1-12 08:19, 40.8 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NjY5MTc3fDg4MTUxM2VjfDE3Mzg1NzM2OTR8MHww

附件: 04.png (2025-1-12 08:19, 40.64 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NjY5MTc4fDNkNjc2OGVlfDE3Mzg1NzM2OTR8MHww
时间:  2025-1-12 08:22
作者: youx

沙发自己造
时间:  2025-1-12 09:52
作者: N28杜蕾斯G5

现在三大运营商定制光猫和路由器都有dpi插件,想要避免就自己买非定制光猫/PON Stick和路由器咯
时间:  2025-1-12 10:43
作者: youx

本帖最后由 youx 于 2025-1-12 10:43 编辑
N28杜蕾斯G5 发表于 2025-1-12 09:52
现在三大运营商定制光猫和路由器都有dpi插件,想要避免就自己买非定制光猫/PON Stick和路由器咯

用户网络终端 安装dpi采集插件 需要告知用户吗?合法吗?
时间:  2025-1-12 11:47
作者: 911bbs

运营商果然就是大流氓!

流氓不可怕,就怕流氓有文化!
时间:  2025-1-12 12:31
作者: 寒雪飘影

新一代喉舌,远程就可以看见你们在做什么
时间:  2025-1-12 13:08
作者: mushroom177

无缝追踪!
时间:  2025-1-12 19:17
作者: 不吹不黑

youx 发表于 2025-01-12 08:22:13 沙发自己造

我坐板凳了
时间:  2025-1-12 19:18
作者: 不吹不黑

N28杜蕾斯G5 发表于 2025-01-12 09:52:07 现在三大运营商定制光猫和路由器都有dpi插件,想要避免就自己买非定制光猫/PON Stick和路由器...

这不得了了
时间:  2025-1-13 09:54
作者: laozhu

漏洞多多
时间:  2025-1-13 17:25
作者: hkezh

这是不是一种监控?
时间:  2025-1-13 17:45
作者: youx

911bbs 发表于 2025-1-12 11:47
运营商果然就是大流氓!

流氓不可怕,就怕流氓有文化!

天网 工程笑了
时间:  2025-1-14 10:30
作者: hjh_317

学习了。。。。



通信人家园 (https://www.txrjy.com/) Powered by C114