转载：逆向了运营商定制无线路由器/光猫里的采集App

youx

转载：逆向了运营商定制无线路由器/光猫里的采集App

转发自 网络id syswow64 写的帖子
原文链接 https://ww w.v2ex.com/t/1104332

朋友之前从某电商购买运营商定制无线路由器一台。怎奈用起来不稳定，间歇性自重启。
一番研究后，发现高资源占用导致 kernel panic ；并提取了名为 CuInformLoader 和 CuInform-inner 的插件。
朋友请求看看这插件是个什么幺蛾子。元旦假期心血来潮，开工。
于是在下 IDA 启动，一看……开幕即暴击……

嗯？dpi 是什么意思呢？
以「 maxnet dpi 」为关键词检索，不难发现其供应商主体——苏州迈科网络安全技术股份有限企业。
浏览其官网，发现了对此产品的先容。
迈科网络的网络可视化插件目前已经广泛应用于各类网络组网设备，包括商业 WiFi 、家庭网关、家庭路由器、企业网关、FTTR 等，累计适配的设备设备型号超过 500+，并且该数字还在不断增长。

云端特征库，多维探测技术——支撑主动探测和被动采集，终端识别技术，边缘计算技术，利害捏！
这下知道那一堆 MSS 1400 、Window 29200 、源自各地家宽 IP 地址的主动探测包是谁发的了吧。参考： https://github.com/shadowsocks/s ... sioncomment-7521840 .
至此，在下已心里有数，顿觉索然无味起来。
粗略地看了看伪代码，最引人注目的部分为，读配置后，用 lua 脚本周期性地从终端采集
http
https
dns
设备信息
拓扑
元组
上报至 sjcj.smarthome.chinaunicom[.]cn:7890 或 sjcj.smarthome.chinaunicom[.]cn:7443。
这下知道运营商可视化后台的数据来源了吧。不良林观众成天念叨的 dns 泄露确实是个问题了（笑
依据间谍App的通用定义，间谍App是秘密记录计算机活动的App（ Spyware is software that can secretly record your activity on your computer ），故，此插件为间谍App，以联通智慧物联的名义。
而后，朋友检查了某运营商定制光猫，果然也发现了 CuInform 的踪迹。
而且，光猫 CuInform 的配置文件含有私有地址，表示可通过 TR069 通道上报，对应桥接场景。

一些可能有用的信息：
加载器具有实行权限。
插件设有启动标志文件，路径大概是 CuInform/enable。
可用 bind mount 覆盖只读目录。