拆解調查一個“邪惡”的RJ45轉換器？

“看看老外是如何調查一個來自中國的 RJ45 轉換器的。。。”

在信息安全領域的頭條新聞中，一個可靠的經驗法則是：關于大規(guī)模供應鏈破壞的報道往往不實。這種攻擊并非不可能實現(xiàn)，而是因為它實施起來需要復雜的策劃、漫長的周期并伴隨巨大風險。這種手段通常是在別無選擇時才會動用的最后底牌。在絕大多數(shù)情況下，竊取用戶憑證或誘騙他人下載惡意文件要簡單得多。

2025年年初的時候，一位年輕企業(yè)家在社交媒體引發(fā)軒然大波。他聲稱其從中國購買的以太網轉USB適配器預裝了惡意軟件，該軟件具有"規(guī)避虛擬機檢測"、"記錄鍵盤輸入"功能，且"包含俄語語言元素"。

這段爆料雖獲得數(shù)百萬瀏覽量，但細節(jié)存在諸多疑點。發(fā)布者展示了一份來自CrowdStrike Falcon殺毒軟件的模糊掃描報告，但這份報告似乎只是轉移視線的障眼法：被標記的可疑文件實際上是通過知名開源壓縮軟件7-Zip（由俄羅斯程序員Igor Pavlov開發(fā)）生成的自解壓EXE安裝包。程序作者的國籍解釋了報告中提及的"俄語元素"；而自解壓程序安裝驅動的特性，則解釋了報告中大部分異常行為。最終，解壓后的文件與深圳和芯潤德公司（Corechips Shenzhen）發(fā)布的RJ45轉USB芯片2.0.7.0版本簽名驅動完全吻合。

驅動程序引用了一款名為 SR9900 的芯片；幾乎沒有關于該芯片或其制造商的任何信息，但經過一番調查，我相信它是 Realtek RTL8152B 的直接克隆。英文版的產品簡介暗示 “SR” 代表 “Supereal”；該品牌名稱曾出現(xiàn)在前段時間困擾業(yè)界的假冒 FTDI FT232RL 芯片事件中。

除了可能存在知識產權欺詐外，該芯片的歷史也很重要，因為 Realtek 的原始設計已經相當老舊；數(shù)據表發(fā)布于 2013 年。這些設備支持 100BASE-TX 和 USB 2.0，讓人回想起 Windows 7 時代。那是一個尷尬的時期，光驅逐漸過時，但并不是每臺電腦都能具備聯(lián)網的條件。因此，部分外設采用模擬U盤存儲設備的形式內置驅動安裝程序有其合理性——從安全角度而言，這與通過其他臨時性方式傳輸驅動文件相比，本質上并無優(yōu)劣之分。

簡而言之，結合歷史背景來看，無論是驅動本身，還是其存儲于設備內部的設計，都未顯露出明顯異常。

但爆料人暗示另有隱情：其分享了拆解照片，指出在元器件稀疏的PCB板上，一個25x40型串行閃存芯片緊鄰前文提到的SR9900芯片。。

為什么設備需要 512KB 閃存？是用來存儲

固件，還是用來保存竊取的數(shù)據包？......這樣問并沒有錯！惡意硬件是有先例的：既被情報機構使用，也見于滲透測試領域。十多年前，我就曾為工作需要制作過一個惡意等離子球裝置。但此刻的爭論焦點不應是"能否制造惡意RJ45轉USB適配器"，而是正如爆料人所言：在此特定案例中，"中國人是否故技重施"。

遺憾的是，SR9900與RTL8152B的規(guī)格書中對配套閃存芯片的用途同樣語焉不詳。我找到如下架構示意圖，但未能提供有效線索：

對相關原理圖進行逆向圖像搜索的結果同樣無功而返：我找到了多份采用原版 Realtek 芯片的設計方案，但這些設計中該芯片的串行引腳均處于懸空狀態(tài)：

在準備從暗網（實指亞馬遜）購買同款轉換器以轉儲內存芯片內容前，先了解其工作原理：串行外設接口（SPI）總線操作極其簡單。核心原理是主機可自由設定時鐘頻率——理論上手動按鍵產生脈沖亦可實現(xiàn)。每個時鐘周期的上升沿，從機通過"串行輸入"線讀取1位數(shù)據，同時主機通過"串行輸出"線獲取1位數(shù)據。整個通信過程無需握手協(xié)議、數(shù)據包頭、奇偶校驗或流量控制。

閃存芯片的應用層協(xié)議同樣簡潔，且與絕大多數(shù)串行存儲芯片通用。讀取數(shù)據時，主機首先發(fā)送1字節(jié)的讀取指令（0x03），隨后發(fā)送3字節(jié)地址值。芯片在接收完四字節(jié)指令序列后即刻開始傳輸數(shù)據，只要主機持續(xù)提供時鐘信號，數(shù)據流就不會中斷：

但就在即將下單時，我突然靈光乍現(xiàn)：通過訪問CoreChips官網，借助谷歌翻譯定位到"SR9900系列芯片Windows系統(tǒng)量產工具"的中文原始頁面。搜索該字符串后，發(fā)現(xiàn)幾個中文技術論壇的歷史帖，其中一條線索指向名為《SR9900(A)設計資料1018.rar》的加密付費下載資源。支付約2.99美元后，我欣喜地獲得了一個內含SR9900量產工具的壓縮包，其操作界面極具年代感：

配套的168KB ISO 9660格式文件系統(tǒng)鏡像包含自解壓Windows驅動。這款量產工具直接將.iso文件原樣寫入SPI閃存芯片。原來，該芯片僅作為"軟件定義"的虛擬光驅使用，完美復刻了早期硬件外設通過物理光盤提供驅動的解決方案。您可在此下載該光盤鏡像（解壓密碼："rj45"）。

值得一提的是，該鏡像由"ULTRAISO V9.3 CD & DVD CREATOR（EZB SYSTEMS 出品）"創(chuàng)建——這是另一款充滿Windows XP時代懷舊氣息的經典軟件：

若想體驗該工具，需注意其系統(tǒng)要求為Intel奔騰166MHz及以上處理器。

核心壓縮包內一份名為《SR9900(A)設計前必看.docx》的文檔佐證了這一發(fā)現(xiàn)。文檔包含如下（機器翻譯）段落：

"當SR9900作為USB網卡（消費類計算機外設市場）使用時，SPI接口可用于在安裝Windows系統(tǒng)驅動時模擬虛擬光驅（此時SPI閃存已預燒錄Windows系統(tǒng)下的SR9900驅動程序）"

文檔同時強調閃存芯片的使用屬于可選項。

至此真相大白：這個看似古怪的設計背后，實則遵循著常規(guī)邏輯。得出這個平淡無奇的結論，我們無需專業(yè)實驗室設備，僅需些許耐心與信息檢索能力即可。

公允而言，仍有一處未解之謎：SR9900芯片內部集成兩個微控制器核心（分別負責USB與以太網通信），運行著內部固件代碼。若懷疑芯片制造商存在共謀嫌疑，理論上可進行逆向分析。瑞昱為RTL8152芯片提供了開源Linux驅動，其中包含固件內存補丁機制；據觀察，相關固件未采用加密或數(shù)字簽名保護。

那么，我們是否應該擔憂來自遙遠國度的惡意USB設備？答案因人而異：若您是參與伊朗核計劃的科學家，風險自然存在；若您執(zhí)掌重要民用企業(yè)的信息安全部門，也需保持警惕——或許已有情報分析師將您的供應商清單錄入追蹤系統(tǒng)。

但對于普通家庭網絡用戶而言，這個"邪惡"轉換器的故事告訴我們：至少今日，我們還能繼續(xù)安心使用一段時間。

原文轉載自https://lcamtuf.substack.com/p/investigating-an-evil-rj45-dongle，經翻譯校訂。