一種新近開發(fā)的技術(shù)，利用了Windows的一個輔助功能框架——UI Automation（UIA），來執(zhí)行多種惡意活動，同時巧妙地避開了端點檢測和響應（EDR）解決方案的監(jiān)控。

Akamai的安全研究員Tomer Peled在一份與The Hacker News分享的報告中指出：“要利用這項技術(shù)，必須說服用戶運行一個利用UI Automation的程序?！边@可能導致隱蔽的命令執(zhí)行，進而竊取敏感數(shù)據(jù)、將瀏覽器重定向至網(wǎng)絡釣魚網(wǎng)站等。

更糟糕的是，本地攻擊者可能會利用這一安全漏洞執(zhí)行命令，從Slack和WhatsApp等消息應用中讀取或發(fā)送消息。此外，這種技術(shù)還可能被用來通過網(wǎng)絡操控用戶界面元素。

UI Automation最初隨Windows XP和Microsoft .NET Framework一同推出，旨在提供對各種用戶界面（UI）元素的程序化訪問，并幫助用戶通過輔助技術(shù)產(chǎn)品（如屏幕閱讀器）來操作這些元素，它也可用于自動化測試場景。

微軟在一份支持文件中提到：“輔助技術(shù)應用通常需要訪問受保護的系統(tǒng)UI元素，或者可能以更高權(quán)限運行的其他進程。因此，輔助技術(shù)應用必須獲得系統(tǒng)的信任，并以特殊權(quán)限運行。”

“要訪問更高權(quán)限級別的進程，輔助技術(shù)應用必須在應用的清單文件中設置UIAccess標志，并由具有管理員權(quán)限的用戶啟動。”

與其他應用中的元素進行UI交互，是通過組件對象模型（COM）作為進程間通信（IPC）機制來實現(xiàn)的。這使得創(chuàng)建UIA對象成為可能，通過設置事件處理程序，在檢測到特定UI變化時觸發(fā)，從而與焦點應用進行交互。

Akamai的研究發(fā)現(xiàn)，這種方法也可能被濫用，允許惡意行為者讀取或發(fā)送消息、竊取在網(wǎng)站（如支付信息）中輸入的數(shù)據(jù)，并在瀏覽器中當前顯示的網(wǎng)頁刷新或更改時執(zhí)行命令，將受害者重定向至惡意網(wǎng)站。

Peled指出：“除了我們可以在屏幕上與之交互的UI元素外，還有更多的元素被預先加載并存儲在緩存中。我們也可以與這些元素交互，比如閱讀屏幕上未顯示的消息，甚至在屏幕上不顯示的情況下設置文本框并發(fā)送消息?！?/p>

需要指出的是，這些惡意場景都是UI Automation的預期功能，類似于Android的輔助服務API已經(jīng)成為惡意軟件從受感染設備中提取信息的常用手段。

Peled補充說：“這歸根結(jié)底是應用程序的預期用途：這些權(quán)限級別必須存在才能使用它。這就是為什么UIA能夠繞過Defender——應用程序沒有發(fā)現(xiàn)任何異常。如果某功能被視為特性而非缺陷，機器的邏輯就會遵循這一特性?！?/p>

Deep Instinct披露，分布式COM（DCOM）遠程協(xié)議允許軟件組件通過網(wǎng)絡通信，可能被利用來遠程編寫自定義有效載荷，創(chuàng)建嵌入式后門。

安全研究員Eliran Nissan表示：“這種攻擊允許在目標機器上編寫自定義DLL，將它們加載到服務中，并使用任意參數(shù)執(zhí)行它們的功能?！边@種后門式攻擊濫用了IMsiServer COM接口。

Nissan說：“到目前為止，DCOM橫向移動攻擊的研究主要集中在基于IDispatch的COM對象上，因為它們可以被腳本化?！毙碌摹癉COM上傳和執(zhí)行”方法“遠程將自定義有效載荷寫入受害者的[全局程序集緩存]，從服務上下文執(zhí)行它們，并與它們通信，有效地充當嵌入式后門。這里的研究證明，許多意想不到的DCOM對象可能被用于橫向移動，應該對齊適當?shù)姆烙胧！?/p>

參考來源：https://thehackernews.com/2024/12/new-malware-technique-could-exploit.html