“看看老外是如何調(diào)查一個來自中國的 RJ45 轉(zhuǎn)換器的。。。”

在信息安全領(lǐng)域的頭條新聞中，一個可靠的經(jīng)驗法則是：關(guān)于大規(guī)模供應(yīng)鏈破壞的報道往往不實(shí)。這種攻擊并非不可能實(shí)現(xiàn)，而是因為它實(shí)施起來需要復(fù)雜的策劃、漫長的周期并伴隨巨大風(fēng)險。這種手段通常是在別無選擇時才會動用的最后底牌。在絕大多數(shù)情況下，竊取用戶憑證或誘騙他人下載惡意文件要簡單得多。

2025年年初的時候，一位年輕企業(yè)家在社交媒體引發(fā)軒然大波。他聲稱其從中國購買的以太網(wǎng)轉(zhuǎn)USB適配器預(yù)裝了惡意軟件，該軟件具有"規(guī)避虛擬機(jī)檢測"、"記錄鍵盤輸入"功能，且"包含俄語語言元素"。

這段爆料雖獲得數(shù)百萬瀏覽量，但細(xì)節(jié)存在諸多疑點(diǎn)。發(fā)布者展示了一份來自CrowdStrike Falcon殺毒軟件的模糊掃描報告，但這份報告似乎只是轉(zhuǎn)移視線的障眼法：被標(biāo)記的可疑文件實(shí)際上是通過知名開源壓縮軟件7-Zip（由俄羅斯程序員Igor Pavlov開發(fā)）生成的自解壓EXE安裝包。程序作者的國籍解釋了報告中提及的"俄語元素"；而自解壓程序安裝驅(qū)動的特性，則解釋了報告中大部分異常行為。最終，解壓后的文件與深圳和芯潤德公司（Corechips Shenzhen）發(fā)布的RJ45轉(zhuǎn)USB芯片2.0.7.0版本簽名驅(qū)動完全吻合。

驅(qū)動程序引用了一款名為 SR9900 的芯片；幾乎沒有關(guān)于該芯片或其制造商的任何信息，但經(jīng)過一番調(diào)查，我相信它是 Realtek RTL8152B 的直接克隆。英文版的產(chǎn)品簡介暗示 “SR” 代表 “Supereal”；該品牌名稱曾出現(xiàn)在前段時間困擾業(yè)界的假冒 FTDI FT232RL 芯片事件中。

除了可能存在知識產(chǎn)權(quán)欺詐外，該芯片的歷史也很重要，因為 Realtek 的原始設(shè)計已經(jīng)相當(dāng)老舊；數(shù)據(jù)表發(fā)布于 2013 年。這些設(shè)備支持 100BASE-TX 和 USB 2.0，讓人回想起 Windows 7 時代。那是一個尷尬的時期，光驅(qū)逐漸過時，但并不是每臺電腦都能具備聯(lián)網(wǎng)的條件。因此，部分外設(shè)采用模擬U盤存儲設(shè)備的形式內(nèi)置驅(qū)動安裝程序有其合理性——從安全角度而言，這與通過其他臨時性方式傳輸驅(qū)動文件相比，本質(zhì)上并無優(yōu)劣之分。

簡而言之，結(jié)合歷史背景來看，無論是驅(qū)動本身，還是其存儲于設(shè)備內(nèi)部的設(shè)計，都未顯露出明顯異常。

但爆料人暗示另有隱情：其分享了拆解照片，指出在元器件稀疏的PCB板上，一個25x40型串行閃存芯片緊鄰前文提到的SR9900芯片。。

為什么設(shè)備需要 512KB 閃存？是用來存儲

固件，還是用來保存竊取的數(shù)據(jù)包？......這樣問并沒有錯！惡意硬件是有先例的：既被情報機(jī)構(gòu)使用，也見于滲透測試領(lǐng)域。十多年前，我就曾為工作需要制作過一個惡意等離子球裝置。但此刻的爭論焦點(diǎn)不應(yīng)是"能否制造惡意RJ45轉(zhuǎn)USB適配器"，而是正如爆料人所言：在此特定案例中，"中國人是否故技重施"。

遺憾的是，SR9900與RTL8152B的規(guī)格書中對配套閃存芯片的用途同樣語焉不詳。我找到如下架構(gòu)示意圖，但未能提供有效線索：

對相關(guān)原理圖進(jìn)行逆向圖像搜索的結(jié)果同樣無功而返：我找到了多份采用原版 Realtek 芯片的設(shè)計方案，但這些設(shè)計中該芯片的串行引腳均處于懸空狀態(tài)：

在準(zhǔn)備從暗網(wǎng)（實(shí)指亞馬遜）購買同款轉(zhuǎn)換器以轉(zhuǎn)儲內(nèi)存芯片內(nèi)容前，先了解其工作原理：串行外設(shè)接口（SPI）總線操作極其簡單。核心原理是主機(jī)可自由設(shè)定時鐘頻率——理論上手動按鍵產(chǎn)生脈沖亦可實(shí)現(xiàn)。每個時鐘周期的上升沿，從機(jī)通過"串行輸入"線讀取1位數(shù)據(jù)，同時主機(jī)通過"串行輸出"線獲取1位數(shù)據(jù)。整個通信過程無需握手協(xié)議、數(shù)據(jù)包頭、奇偶校驗或流量控制。

閃存芯片的應(yīng)用層協(xié)議同樣簡潔，且與絕大多數(shù)串行存儲芯片通用。讀取數(shù)據(jù)時，主機(jī)首先發(fā)送1字節(jié)的讀取指令（0x03），隨后發(fā)送3字節(jié)地址值。芯片在接收完四字節(jié)指令序列后即刻開始傳輸數(shù)據(jù)，只要主機(jī)持續(xù)提供時鐘信號，數(shù)據(jù)流就不會中斷：

但就在即將下單時，我突然靈光乍現(xiàn)：通過訪問CoreChips官網(wǎng)，借助谷歌翻譯定位到"SR9900系列芯片Windows系統(tǒng)量產(chǎn)工具"的中文原始頁面。搜索該字符串后，發(fā)現(xiàn)幾個中文技術(shù)論壇的歷史帖，其中一條線索指向名為《SR9900(A)設(shè)計資料1018.rar》的加密付費(fèi)下載資源。支付約2.99美元后，我欣喜地獲得了一個內(nèi)含SR9900量產(chǎn)工具的壓縮包，其操作界面極具年代感：

配套的168KB ISO 9660格式文件系統(tǒng)鏡像包含自解壓Windows驅(qū)動。這款量產(chǎn)工具直接將.iso文件原樣寫入SPI閃存芯片。原來，該芯片僅作為"軟件定義"的虛擬光驅(qū)使用，完美復(fù)刻了早期硬件外設(shè)通過物理光盤提供驅(qū)動的解決方案。您可在此下載該光盤鏡像（解壓密碼："rj45"）。

值得一提的是，該鏡像由"ULTRAISO V9.3 CD & DVD CREATOR（EZB SYSTEMS 出品）"創(chuàng)建——這是另一款充滿Windows XP時代懷舊氣息的經(jīng)典軟件：

若想體驗該工具，需注意其系統(tǒng)要求為Intel奔騰166MHz及以上處理器。

核心壓縮包內(nèi)一份名為《SR9900(A)設(shè)計前必看.docx》的文檔佐證了這一發(fā)現(xiàn)。文檔包含如下（機(jī)器翻譯）段落：

"當(dāng)SR9900作為USB網(wǎng)卡（消費(fèi)類計算機(jī)外設(shè)市場）使用時，SPI接口可用于在安裝Windows系統(tǒng)驅(qū)動時模擬虛擬光驅(qū)（此時SPI閃存已預(yù)燒錄Windows系統(tǒng)下的SR9900驅(qū)動程序）"

文檔同時強(qiáng)調(diào)閃存芯片的使用屬于可選項。

至此真相大白：這個看似古怪的設(shè)計背后，實(shí)則遵循著常規(guī)邏輯。得出這個平淡無奇的結(jié)論，我們無需專業(yè)實(shí)驗室設(shè)備，僅需些許耐心與信息檢索能力即可。

公允而言，仍有一處未解之謎：SR9900芯片內(nèi)部集成兩個微控制器核心（分別負(fù)責(zé)USB與以太網(wǎng)通信），運(yùn)行著內(nèi)部固件代碼。若懷疑芯片制造商存在共謀嫌疑，理論上可進(jìn)行逆向分析。瑞昱為RTL8152芯片提供了開源Linux驅(qū)動，其中包含固件內(nèi)存補(bǔ)丁機(jī)制；據(jù)觀察，相關(guān)固件未采用加密或數(shù)字簽名保護(hù)。

那么，我們是否應(yīng)該擔(dān)憂來自遙遠(yuǎn)國度的惡意USB設(shè)備？答案因人而異：若您是參與伊朗核計劃的科學(xué)家，風(fēng)險自然存在；若您執(zhí)掌重要民用企業(yè)的信息安全部門，也需保持警惕——或許已有情報分析師將您的供應(yīng)商清單錄入追蹤系統(tǒng)。

但對于普通家庭網(wǎng)絡(luò)用戶而言，這個"邪惡"轉(zhuǎn)換器的故事告訴我們：至少今日，我們還能繼續(xù)安心使用一段時間。

原文轉(zhuǎn)載自https://lcamtuf.substack.com/p/investigating-an-evil-rj45-dongle，經(jīng)翻譯校訂。