一種新近開發(fā)的技術(shù)，利用了Windows的一個輔助功能框架——UI Automation（UIA），來執(zhí)行多種惡意活動，同時巧妙地避開了端點(diǎn)檢測和響應(yīng)（EDR）解決方案的監(jiān)控。

Akamai的安全研究員Tomer Peled在一份與The Hacker News分享的報告中指出：“要利用這項(xiàng)技術(shù)，必須說服用戶運(yùn)行一個利用UI Automation的程序?！边@可能導(dǎo)致隱蔽的命令執(zhí)行，進(jìn)而竊取敏感數(shù)據(jù)、將瀏覽器重定向至網(wǎng)絡(luò)釣魚網(wǎng)站等。

更糟糕的是，本地攻擊者可能會利用這一安全漏洞執(zhí)行命令，從Slack和WhatsApp等消息應(yīng)用中讀取或發(fā)送消息。此外，這種技術(shù)還可能被用來通過網(wǎng)絡(luò)操控用戶界面元素。

UI Automation最初隨Windows XP和Microsoft .NET Framework一同推出，旨在提供對各種用戶界面（UI）元素的程序化訪問，并幫助用戶通過輔助技術(shù)產(chǎn)品（如屏幕閱讀器）來操作這些元素，它也可用于自動化測試場景。

微軟在一份支持文件中提到：“輔助技術(shù)應(yīng)用通常需要訪問受保護(hù)的系統(tǒng)UI元素，或者可能以更高權(quán)限運(yùn)行的其他進(jìn)程。因此，輔助技術(shù)應(yīng)用必須獲得系統(tǒng)的信任，并以特殊權(quán)限運(yùn)行?！?/p>

“要訪問更高權(quán)限級別的進(jìn)程，輔助技術(shù)應(yīng)用必須在應(yīng)用的清單文件中設(shè)置UIAccess標(biāo)志，并由具有管理員權(quán)限的用戶啟動?！?/p>

與其他應(yīng)用中的元素進(jìn)行UI交互，是通過組件對象模型（COM）作為進(jìn)程間通信（IPC）機(jī)制來實(shí)現(xiàn)的。這使得創(chuàng)建UIA對象成為可能，通過設(shè)置事件處理程序，在檢測到特定UI變化時觸發(fā)，從而與焦點(diǎn)應(yīng)用進(jìn)行交互。

Akamai的研究發(fā)現(xiàn)，這種方法也可能被濫用，允許惡意行為者讀取或發(fā)送消息、竊取在網(wǎng)站（如支付信息）中輸入的數(shù)據(jù)，并在瀏覽器中當(dāng)前顯示的網(wǎng)頁刷新或更改時執(zhí)行命令，將受害者重定向至惡意網(wǎng)站。

Peled指出：“除了我們可以在屏幕上與之交互的UI元素外，還有更多的元素被預(yù)先加載并存儲在緩存中。我們也可以與這些元素交互，比如閱讀屏幕上未顯示的消息，甚至在屏幕上不顯示的情況下設(shè)置文本框并發(fā)送消息?！?/p>

需要指出的是，這些惡意場景都是UI Automation的預(yù)期功能，類似于Android的輔助服務(wù)API已經(jīng)成為惡意軟件從受感染設(shè)備中提取信息的常用手段。

Peled補(bǔ)充說：“這歸根結(jié)底是應(yīng)用程序的預(yù)期用途：這些權(quán)限級別必須存在才能使用它。這就是為什么UIA能夠繞過Defender——應(yīng)用程序沒有發(fā)現(xiàn)任何異常。如果某功能被視為特性而非缺陷，機(jī)器的邏輯就會遵循這一特性。”

Deep Instinct披露，分布式COM（DCOM）遠(yuǎn)程協(xié)議允許軟件組件通過網(wǎng)絡(luò)通信，可能被利用來遠(yuǎn)程編寫自定義有效載荷，創(chuàng)建嵌入式后門。

安全研究員Eliran Nissan表示：“這種攻擊允許在目標(biāo)機(jī)器上編寫自定義DLL，將它們加載到服務(wù)中，并使用任意參數(shù)執(zhí)行它們的功能?！边@種后門式攻擊濫用了IMsiServer COM接口。

Nissan說：“到目前為止，DCOM橫向移動攻擊的研究主要集中在基于IDispatch的COM對象上，因?yàn)樗鼈兛梢员荒_本化?！毙碌摹癉COM上傳和執(zhí)行”方法“遠(yuǎn)程將自定義有效載荷寫入受害者的[全局程序集緩存]，從服務(wù)上下文執(zhí)行它們，并與它們通信，有效地充當(dāng)嵌入式后門。這里的研究證明，許多意想不到的DCOM對象可能被用于橫向移動，應(yīng)該對齊適當(dāng)?shù)姆烙胧！?/p>

參考來源：https://thehackernews.com/2024/12/new-malware-technique-could-exploit.html