腾达路由器被植入第三方程序让我们一起区分之旅

我今天从客户那里收到一个Tenda路由器，发现使用它时流量异常，并怀疑它已植入第三方程序中。让我们协助分析。让我们一起开始分析之旅。

一、固件提取

此Tenda路由器是n301版本（2013年发布的产品）。要分析路由器，首先要做的是提取固件。

拆卸机器，发现路由器的闪存芯片为25Q16，容量为2m。直接使用芯片的引脚夹会导致各种不规则现象，这可能是由于接触不良或将Flash芯片的IO电压拉低和拉高而导致的，并且尚未读取芯片数据。

最后，我们使用热风吹干闪存芯片，然后使用芯片座进行读取。此方法是最有效的方法，但必须具有良好的焊接技术，否则无法将芯片焊接回去，从而使设备变成砖头。幸运的是，该技术已通过。提取固件后，将芯片焊接回去，路由器即可正常工作。

二、系统提取

获取固件后，使用Binwalk分析建议的固件。固件包含CFE和ECOS系统的两个部分；

CFE：A7A4，基于MIPS芯片的Broadcom引导加载程序

ECOS：2001C，ecos操作系统模块，路由器核心代码也在其中

使用binwalk对2001C进行进一步分析，我们可以找到更多信息。固件采用MIPS的小端格式。

使用IDA分析系统，选择MIPS Little Endian方法，然后打开固件2001C。

IDA加载固件后，发现无法正确识别该功能。经过分析，这是因为未设置ROM的起始地址。通常，当路由器启动时，启动固件程序会打印出这些有用的信息，并且要查看此信息，您需要找到UART以通过TTL连接到计算机。

三、 UART识别

在此路由器的主板上看不到标记的UART接口。在这种情况下，您可以搜索主芯片的DataSheet以找到相应的UART引脚，或测量端口电压方法（详细描述了“秘密家用路由器0day漏洞挖掘技术”），然后观察电路图，并然后焊接飞线接口。该评估板中使用的芯片为BCM5357，搜索后未找到公共DataSheet。据推测，主板上标记的几个TPN接口可能是其调试接口。 UART只需要三个接口，而GND，TXD，RXD只需要找到正确的GND和TXD，就会有输出显示。

第一步是找到GND。这是最简单的一种。使用万用表进行测试。连接到天线的点是GND，或者您可以直接从天线悬空一根导线。

第二步是找到TXD。您可以使用万用表电压测量方法轻松找到TXD。下面介绍如何猜测是否没有普遍使用。启动路由器后，将打印出信息（如果完成输出屏蔽，则可能没有任何信息）。观察路由器主板，并在TPN上标记最可疑的点。取出TTL并开始测试。使用Dupont公头和母头电缆，插头连接到TTL的RXD，主板的GND连接到TTL的GND。将杜邦线的公连接器接触到其中一点，然后打开路由器的电源。打开时，串行端口的数据输出为TXD。此处发现TP2为TXD，输出乱码，波特率调整为115200，输出正确。

第三步是找到RXD。该方法基本上与TXD相同。区别在于RXD是输入端口。测试期间回显的输入为RXD。测试发现RXD是TP1。

找到接口。剩下的就是焊接飞线进行连接。

启动路由器，检查打印的启动信息，并发现固件开始执行的地址为0×80001000。

四、 IDA功能识别修复

IDA打开固件并将ROM的起始地址设置为0×80001000。

打开IDA 7. 0后，无法识别该功能。在开始位置按P即可成功解析该函数??，但此函数尚未完成。您仍然需要手动解析无法识别的位置。后来的测试发现IDA 6. 8可用于正确打开它。您可以使用6. 8打开它并保存一个IDB文件，然后使用IDA 7. 0打开它。

其余的工作是分析代码，因此在此不再介绍。

五、后记

经过分析，此路由尚未植入第三方程序。异常流量可能是由其他原因引起的，例如更高级别的流量劫持。

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/tongxingongju/article-356575-1.html