一种新开发的技术利用名为 UI 自动化 (UIA) 的 Windows 辅助功能框架来执行各种恶意活动,而不会泄露端点检测和响应 (EDR) 解决方案。
“要利用这种技术,必须说服用户运行使用 UI 自动化的程序,”Akamai 安全研究员 Tomer Peled 在与 The Hacker News 分享的一份报告中说。“这可能导致隐蔽的命令执行,从而收集敏感数据、将浏览器重定向到网络钓鱼网站等等。”
更糟糕的是,本地攻击者可以利用这个安全盲点来执行命令,并从 Slack 和 WhatsApp 等消息传递应用程序读取/写入消息。最重要的是,它还可能成为通过网络操纵 UI 元素的武器。
UI 自动化首先作为 Microsoft .NET Framework 的一部分在 Windows XP 中提供,旨在提供对各种用户界面 (UI) 元素的编程访问,并帮助用户使用辅助技术产品(如屏幕阅读器)操作它们。它还可用于自动化测试方案。
“辅助技术应用程序通常需要访问受保护的系统 UI 元素,或可能以更高权限级别运行的其他进程,”Microsoft 在支持文档中指出。“因此,辅助技术应用程序必须得到系统的信任,并且必须以特殊权限运行。”
“若要访问更高的 IL 进程,辅助技术应用程序必须在应用程序的清单中设置 UIAccess 标志,并由具有管理员权限的用户启动。”
通过使用组件对象模型 (COM) 作为进程间通信 (IPC) 机制,可以实现与其他应用程序中元素的 UI 交互。这样,就可以创建可用于与焦点应用程序交互的 UIA 对象,方法是设置在检测到某些 UI 更改时触发的事件处理程序。
Akamai 的研究发现,这种方法还可能为滥用开辟一条途径,允许恶意行为者读/写消息、窃取在网站上输入的数据(例如支付信息),并执行命令,在浏览器中当前显示的网页刷新或更改时将受害者重定向到恶意网站。
“除了当前在屏幕上显示的我们可以与之交互的 UI 元素外,还会提前加载更多元素并将其放置在缓存中,”Peled 指出。“我们还可以与这些元素进行交互,例如阅读屏幕上未显示的消息,甚至可以设置文本框并发送消息而不会反映在屏幕上。”
也就是说,值得注意的是,这些恶意场景中的每一种都是 UI 自动化的预期功能,就像 Android 的无障碍服务 API 如何成为恶意软件从受感染设备中提取信息的主要方式一样。
“这又回到了应用程序的预期目的:必须存在这些权限级别才能使用它,”Peled 补充道。这就是 UIA 能够绕过 Defender 的原因 — 该应用程序没有发现任何异常。如果某件事被视为功能而不是错误,那么机器的逻辑将遵循该功能。
在披露这一消息的同时,Deep Instinct 透露,允许软件组件通过网络进行通信的分布式 COM (DCOM) 远程协议可能被用来远程写入自定义有效负载以创建嵌入式后门。
安全研究员 Eliran Nissan 说,这种攻击“允许将自定义 DLL 写入目标机器,将它们加载到服务中,并使用任意参数执行它们的功能”。“这种类似后门的攻击滥用了 IMsiServer COM 接口。”
也就是说,这家以色列网络安全公司指出,此类攻击会留下明确的入侵指标 (IoC),可以检测和阻止。它还要求攻击者和受害者计算机位于同一域中。
“到目前为止,由于 DCOM 的脚本化特性,DCOM 横向移动攻击一直专门针对基于 IDispatch 的 COM 对象进行研究,”Nissan 说。新的'DCOM上传和执行'方法“远程将自定义有效载荷写入受害者的[全局程序集缓存],从服务上下文中执行它们,并与他们通信,有效地充当嵌入式后门。
“这里介绍的研究证明,许多意想不到的 DCOM 物体可能可用于横向移动,因此应调整适当的防御措施。”
|
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。 我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。 如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。  |
END
原文始发于微信公众号(信息安全大事件):新的恶意软件技术可以利用 Windows UI 框架来逃避 EDR 工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论