#安全资讯 压缩管理器 Bandizip 自带的签名工具存在白加黑滥用风险,可被用于加载任意 DLL。Bandizip 安装后会释放名为 RegDll 的可执行程序,该文件可以用来调用任意 DLL 文件,这意味着攻击者可以利用此工具加载后门程序,不过前提是攻击者已经提前落地 BAT/EXE/DLL 或通过其他方式执行命令,这个问题算是缺陷而非漏洞,可能需要班迪软件后续加强校验,只允许调用安装路径中具有班迪签名的文件。查看详情:https://ourl.co/113329
吾爱破解网友 @Xiaojiakeji 日前发帖分享自己在韩国压缩管理器 Bandizip 中发现的安全缺陷,该缺陷源头在于 Bandizip 自带签名工具不会校验调用文件,这意味着攻击者可以利用这个签名工具加载后门程序,主要适合的攻击场景是初始阶段攻击载荷进入系统后,使用这个签名工具进行二阶段调用。
缺乏必要的路径 / 白名单 / 签名校验:
Bandizip 安装后会在安装目录里释放名为 RegDll.x64.exe 和 RegDll.x86.exe 的文件,直接打开该文件会弹出命令行帮助窗口用来显示工具支持的各种操作参数,这些文件本身自带班迪软件 (Bandisoft) 官方数字签名,正常情况下这些文件再发起调用时会被安全软件视为可信程序而直接放行。
RegDll 支持的功能包括注册 DLL、卸载 DLL、直接加载并指定 DLL 中的指定函数、添加或删除系统 PATH (环境变量)、重启资源管理器,关键问题在于 RegDll 执行调用时不会检测路径、不会校验签名、没有白名单机制,并且会直接 LoadLibraryW 任意 DLL,这意味着恶意攻击载荷也可以通过 RegDll 触发。
于是潜在的攻击场景就是黑客投放的攻击载荷在已经进入目标系统的情况下,可以借用 RegDll 触发恶意载荷,由于 RegDll 携带有效的数字签名,触发流程可能会被 Microsoft Defender 或其他安全软件放行,这有助于黑客将后门程序激活。只不过前提是黑客必须已经落地 BAT/EXE/DLL 或通过其他方式执行命令。
主要可被用于免杀和绕过检测链条:
RegDll 本身使用当前进程权限发起,被触发的攻击载荷也只能继承当前进程权限,因此直接使用 RegDll 既不能发起远程代码执行,也不能用于提权或高完整性运行,因此对个人用户而言只是中低风险,对企业环境而言具有中等风险,这还是需要班迪软件或 IT 管理员进行适当防御的。
对班迪软件来说应该要为 RegDll 添加必要的检测机制,例如只能调用具有合法签名的 DLL、只能调用班迪软件自己签名的 DLL、只能调用 Bandizip 安装目录内的具有班迪签名的 DLL (这种限制安全性会比前者更高),也应该移除公开命令行中的 /calldll 以及增加交互式确认或管理员限制。
对于在企业环境中使用 Bandizip 的用户来说由于存在白加黑攻击风险,建议 IT 管理员最好对 Bandizip 实施必要的限制,防止钓鱼网站和木马等利用 RegDll 触发攻击,目前还不清楚网友是否已经将这个缺陷上报给班迪软件。
