一種新近開發的技術，利用了Windows的一個輔助功能框架——UI Automation（UIA），來執行多種惡意活動，同時巧妙地避開了端點檢測和響應（EDR）解決方案的監控。

Akamai的安全研究員Tomer Peled在一份與The Hacker News分享的報告中指出：“要利用這項技術，必須說服用戶運行一個利用UI Automation的程序。”這可能導致隱蔽的命令執行，進而竊取敏感數據、將瀏覽器重定向至網絡釣魚網站等。

更糟糕的是，本地攻擊者可能會利用這一安全漏洞執行命令，從Slack和WhatsApp等消息應用中讀取或發送消息。此外，這種技術還可能被用來通過網絡操控用戶界面元素。

UI Automation最初隨Windows XP和Microsoft .NET Framework一同推出，旨在提供對各種用戶界面（UI）元素的程序化訪問，并幫助用戶通過輔助技術產品（如屏幕閱讀器）來操作這些元素，它也可用于自動化測試場景。

微軟在一份支持文件中提到：“輔助技術應用通常需要訪問受保護的系統UI元素，或者可能以更高權限運行的其他進程。因此，輔助技術應用必須獲得系統的信任，并以特殊權限運行。”

“要訪問更高權限級別的進程，輔助技術應用必須在應用的清單文件中設置UIAccess標志，并由具有管理員權限的用戶啟動。”

與其他應用中的元素進行UI交互，是通過組件對象模型（COM）作為進程間通信（IPC）機制來實現的。這使得創建UIA對象成為可能，通過設置事件處理程序，在檢測到特定UI變化時觸發，從而與焦點應用進行交互。

Akamai的研究發現，這種方法也可能被濫用，允許惡意行為者讀取或發送消息、竊取在網站（如支付信息）中輸入的數據，并在瀏覽器中當前顯示的網頁刷新或更改時執行命令，將受害者重定向至惡意網站。

Peled指出：“除了我們可以在屏幕上與之交互的UI元素外，還有更多的元素被預先加載并存儲在緩存中。我們也可以與這些元素交互，比如閱讀屏幕上未顯示的消息，甚至在屏幕上不顯示的情況下設置文本框并發送消息。”

需要指出的是，這些惡意場景都是UI Automation的預期功能，類似于Android的輔助服務API已經成為惡意軟件從受感染設備中提取信息的常用手段。

Peled補充說：“這歸根結底是應用程序的預期用途：這些權限級別必須存在才能使用它。這就是為什么UIA能夠繞過Defender——應用程序沒有發現任何異常。如果某功能被視為特性而非缺陷，機器的邏輯就會遵循這一特性。”

Deep Instinct披露，分布式COM（DCOM）遠程協議允許軟件組件通過網絡通信，可能被利用來遠程編寫自定義有效載荷，創建嵌入式后門。

安全研究員Eliran Nissan表示：“這種攻擊允許在目標機器上編寫自定義DLL，將它們加載到服務中，并使用任意參數執行它們的功能。”這種后門式攻擊濫用了IMsiServer COM接口。

Nissan說：“到目前為止，DCOM橫向移動攻擊的研究主要集中在基于IDispatch的COM對象上，因為它們可以被腳本化。”新的“DCOM上傳和執行”方法“遠程將自定義有效載荷寫入受害者的[全局程序集緩存]，從服務上下文執行它們，并與它們通信，有效地充當嵌入式后門。這里的研究證明，許多意想不到的DCOM對象可能被用于橫向移動，應該對齊適當的防御措施。”

參考來源：https://thehackernews.com/2024/12/new-malware-technique-could-exploit.html