|
朋友之前从某电商购买运营商定制无线路由器一台。怎奈用起来不稳定,间歇性自重启。
一番研究后,发现高资源占用导致 kernel panic ;并提取了名为 CuInformLoader 和 CuInform-inner 的插件。
朋友请求看看这插件是个什么幺蛾子。元旦假期心血来潮,开工。
于是在下 IDA 启动,一看……开幕即暴击……
嗯?dpi 是什么意思呢?
以「 maxnet dpi 」为关键词检索,不难发现其供应商主体——苏州迈科网络安全技术股份有限公司。
浏览其官网,发现了对此产品的介绍。
迈科网络的网络可视化插件目前已经广泛应用于各类网络组网设备,包括商业 WiFi 、家庭网关、家庭路由器、企业网关、FTTR 等,累计适配的设备设备型号超过 500+,并且该数字还在不断增长。
云端特征库,多维探测技术——支持主动探测和被动采集,终端识别技术,边缘计算技术,厉害捏!
这下知道那一堆 MSS 1400 、Window 29200 、源自各地家宽 IP 地址的主动探测包是谁发的了吧。参考: https://github.com/shadowsocks/shadowsocks-rust/discussions/888#discussioncomment-7521840 .
至此,在下已心里有数,顿觉索然无味起来。
粗略地看了看伪代码,最引人注目的部分为,读配置后,用 lua 脚本周期性地从终端采集
- http
- https
- dns
- 设备信息
- 拓扑
- 元组
上报至 sjcj.smarthome.chinaunicom[.]cn:7890 或 sjcj.smarthome.chinaunicom[.]cn:7443。
这下知道运营商可视化后台的数据来源了吧。不良林观众成天念叨的 dns 泄露确实是个问题了(笑
依据间谍软件的通用定义,间谍软件是秘密记录计算机活动的软件( Spyware is software that can secretly record your activity on your computer ),故,此插件为间谍软件,以联通智慧物联的名义。
而后,朋友检查了某运营商定制光猫,果然也发现了 CuInform 的踪迹。
而且,光猫 CuInform 的配置文件含有私有地址,表示可通过 TR069 通道上报,对应桥接场景。
一些可能有用的信息:
- 加载器具有执行权限。
- 插件设有启动标志文件,路径大概是
CuInform/enable。
- 可用 bind mount 覆盖只读目录。
| 
