一種新近開(kāi)發(fā)的技術(shù)，利用了Windows的一個(gè)輔助功能框架——UI Automation（UIA），來(lái)執(zhí)行多種惡意活動(dòng)，同時(shí)巧妙地避開(kāi)了端點(diǎn)檢測(cè)和響應(yīng)（EDR）解決方案的監(jiān)控。

Akamai的安全研究員Tomer Peled在一份與The Hacker News分享的報(bào)告中指出：“要利用這項(xiàng)技術(shù)，必須說(shuō)服用戶運(yùn)行一個(gè)利用UI Automation的程序。”這可能導(dǎo)致隱蔽的命令執(zhí)行，進(jìn)而竊取敏感數(shù)據(jù)、將瀏覽器重定向至網(wǎng)絡(luò)釣魚(yú)網(wǎng)站等。

更糟糕的是，本地攻擊者可能會(huì)利用這一安全漏洞執(zhí)行命令，從Slack和WhatsApp等消息應(yīng)用中讀取或發(fā)送消息。此外，這種技術(shù)還可能被用來(lái)通過(guò)網(wǎng)絡(luò)操控用戶界面元素。

UI Automation最初隨Windows XP和Microsoft .NET Framework一同推出，旨在提供對(duì)各種用戶界面（UI）元素的程序化訪問(wèn)，并幫助用戶通過(guò)輔助技術(shù)產(chǎn)品（如屏幕閱讀器）來(lái)操作這些元素，它也可用于自動(dòng)化測(cè)試場(chǎng)景。

微軟在一份支持文件中提到：“輔助技術(shù)應(yīng)用通常需要訪問(wèn)受保護(hù)的系統(tǒng)UI元素，或者可能以更高權(quán)限運(yùn)行的其他進(jìn)程。因此，輔助技術(shù)應(yīng)用必須獲得系統(tǒng)的信任，并以特殊權(quán)限運(yùn)行。”

“要訪問(wèn)更高權(quán)限級(jí)別的進(jìn)程，輔助技術(shù)應(yīng)用必須在應(yīng)用的清單文件中設(shè)置UIAccess標(biāo)志，并由具有管理員權(quán)限的用戶啟動(dòng)。”

與其他應(yīng)用中的元素進(jìn)行UI交互，是通過(guò)組件對(duì)象模型（COM）作為進(jìn)程間通信（IPC）機(jī)制來(lái)實(shí)現(xiàn)的。這使得創(chuàng)建UIA對(duì)象成為可能，通過(guò)設(shè)置事件處理程序，在檢測(cè)到特定UI變化時(shí)觸發(fā)，從而與焦點(diǎn)應(yīng)用進(jìn)行交互。

Akamai的研究發(fā)現(xiàn)，這種方法也可能被濫用，允許惡意行為者讀取或發(fā)送消息、竊取在網(wǎng)站（如支付信息）中輸入的數(shù)據(jù)，并在瀏覽器中當(dāng)前顯示的網(wǎng)頁(yè)刷新或更改時(shí)執(zhí)行命令，將受害者重定向至惡意網(wǎng)站。

Peled指出：“除了我們可以在屏幕上與之交互的UI元素外，還有更多的元素被預(yù)先加載并存儲(chǔ)在緩存中。我們也可以與這些元素交互，比如閱讀屏幕上未顯示的消息，甚至在屏幕上不顯示的情況下設(shè)置文本框并發(fā)送消息。”

需要指出的是，這些惡意場(chǎng)景都是UI Automation的預(yù)期功能，類(lèi)似于Android的輔助服務(wù)API已經(jīng)成為惡意軟件從受感染設(shè)備中提取信息的常用手段。

Peled補(bǔ)充說(shuō)：“這歸根結(jié)底是應(yīng)用程序的預(yù)期用途：這些權(quán)限級(jí)別必須存在才能使用它。這就是為什么UIA能夠繞過(guò)Defender——應(yīng)用程序沒(méi)有發(fā)現(xiàn)任何異常。如果某功能被視為特性而非缺陷，機(jī)器的邏輯就會(huì)遵循這一特性。”

Deep Instinct披露，分布式COM（DCOM）遠(yuǎn)程協(xié)議允許軟件組件通過(guò)網(wǎng)絡(luò)通信，可能被利用來(lái)遠(yuǎn)程編寫(xiě)自定義有效載荷，創(chuàng)建嵌入式后門(mén)。

安全研究員Eliran Nissan表示：“這種攻擊允許在目標(biāo)機(jī)器上編寫(xiě)自定義DLL，將它們加載到服務(wù)中，并使用任意參數(shù)執(zhí)行它們的功能。”這種后門(mén)式攻擊濫用了IMsiServer COM接口。

Nissan說(shuō)：“到目前為止，DCOM橫向移動(dòng)攻擊的研究主要集中在基于IDispatch的COM對(duì)象上，因?yàn)樗鼈兛梢员荒_本化。”新的“DCOM上傳和執(zhí)行”方法“遠(yuǎn)程將自定義有效載荷寫(xiě)入受害者的[全局程序集緩存]，從服務(wù)上下文執(zhí)行它們，并與它們通信，有效地充當(dāng)嵌入式后門(mén)。這里的研究證明，許多意想不到的DCOM對(duì)象可能被用于橫向移動(dòng)，應(yīng)該對(duì)齊適當(dāng)?shù)姆烙胧?rdquo;

參考來(lái)源：https://thehackernews.com/2024/12/new-malware-technique-could-exploit.html