Dell打印机驱动程序被多家杀毒软件告警调查 – 作者:安恒威胁情报中心

01事件背景

近日，著名网络安全届的独立调查记者Briankrebs披露在virustotal上多个防病毒产品将戴尔站点上多个打印机的驱动程序检测为恶意软件。

DELL官方发声认为属于杀毒软件误报，其驱动文件是安全的，但是Dell官网还是对多个链接进行了下线。

安恒威胁情报中心猎影实验室本着对事物都保持怀疑态度，对相关文件进行了深入分析研究。

02调查分析

下面以其中一个驱动程序作为示例进行分析，文件名是：“Printer_E310dw_FW_Dell_A07_WIN.zip”的文件，其hash值：25CED7A72A8331DAED4E3B0850B0D24B

首先，分析压缩包内的“dllprn_pcl_VL_105_2.djf.exe”程序，其首先加载RAW_DAT资源信息。

接着获取当前系统的默认打印机信息：

通过调用OpenPrinter、EndPagePrinter等系统函数实现打印操作：

在目录“C:\WINDOWS\system32\spool\PRINTERS”生成打印需要的SHD、SPL文件：

文件格式简述如下：

● SHD：文件存储的打印机配置相关信息

●SPL：文件存储了比较关键的PJL代码(Printer Job Language，打印机作业语言)

SPL文件内的PJL代码如下图所示：

(dllprn_pcl_VL_105_2.djf.exe的PJL代码)

市面上的打印机公司并未公开对PJL语言的解析，不同公司之间所使用的自定义关键词以及代码的实现也不同。

根据经验判断，文件中关键词

“PJL EXECUTE BRDOWNLOAD”属于下载执行操作，里面还包含FIRM、ROM2等字段，我们推测这段PJL代码功能是用于更新打印机固件代码。

对压缩包内的另外一个文件“E310DW_K2008060925.exe”进行逆向，发现其功能和程序

(dllprn_pcl_VL_105_2.djf.exe) 功能类似，也是通过资源段释放信息，然后利用PJL代码与打印机进行通信。

关键是这两个文件的PJL代码并不相同，E310DW_K2008060925.exe的PJL代码包含PROG字符串，我们怀疑是对打印机对应用程序进行更新。

03结论推测

根据前面的分析结果，我们认为这2个程序是用于更新打印机固件以及打印机应用代码更新。由于无法解密固件，目前无法确定是否会对打印机产生对影响，不排除更新代码存在未知风险。

DELL官方已经发声认为是误报，有些安全厂家对该文件开始不告警了，之前24家杀毒软件告警变成10余家告警了，所以我们偏向于文件是安全的。

另外，在其中程序中包含一串日文（即：“固定データprtoutツール”）的pdb信息，翻译中文是“固定的数据打印工具”的含义，推测开发者可能是日本人。

不少打印机都会公网开放9100端口，该端口接受PJL代码，可实现信息获取、打印、甚至控制等功能。

使用安恒信息的全球网络空间超级雷达系统SuMap搜索HP打印机且开放9100端口的设备，就能大量外网公开能访问的情况，也涉及国内，需要引起高度重视。

04相关文件Hash

25ced7a72a8331daed4e3b0850b0d24b

243c55d39055c070631ba81ee5086bef

a4eed816b30c4f4160d4e72256bbd051

d21f7d95f28ebfa0148c11d59c387c5d

0e578b302c10b4c63d284421f4dc709e

本文作者：安恒威胁情报中心猎影实验室

来源：freebuf.com 2020-11-13 17:22:52 by: 安恒威胁情报中心