风险预警 Akamai 安全研究人员发现了一种新型攻击技术,攻击者利用 Windows 辅助功能框架 UI Automation (UIA) 执行恶意活动,而 EDR 安全工具却无法察觉。
UIA 攻击原理
-
UIA 框架允许程序访问和操作用户界面元素,常用于屏幕阅读器等辅助技术。 -
攻击者利用 UIA 的 COM 进程间通信机制,与目标应用程序交互,实现恶意操作。 -
攻击者可以读取/写入消息、窃取网站输入数据、执行命令等,而 EDR 无法识别这些操作为恶意行为。
UIA 攻击的危害
- 隐蔽性强:
EDR 难以检测到 UIA 攻击,攻击者可以长时间潜伏在目标系统中。 - 攻击方式多样:
攻击者可以利用 UIA 进行多种恶意操作,例如窃取数据、劫持浏览器、远程控制等。 - 本地攻击和远程攻击:
UIA 攻击可以用于本地攻击,例如读取聊天软件消息;也可以用于远程攻击,例如操控用户界面元素。
DCOM 远程攻击
Deep Instinct 的研究人员还发现,分布式 COM (DCOM) 远程协议也存在安全风险,攻击者可以利用其在目标机器上远程写入自定义 payload,创建嵌入式后门。
作者点评
UIA 和 DCOM 攻击的发现,凸显了操作系统底层框架和协议的潜在安全风险。安全厂商需要加强对这类新型攻击技术的识别和防御能力,EDR 工具也需要改进检测机制,以应对 increasingly sophisticated 的攻击手段。
安全建议
- 谨慎运行程序:
不要轻易运行来源不明的程序,尤其是需要访问 UIA 框架的程序。 - 加强 EDR 防护:
部署 EDR 工具并及时更新规则,提高对 UIA 攻击的检测能力。 - 限制 DCOM 访问:
限制 DCOM 远程协议的访问权限,降低被攻击的风险。
原文始发于微信公众号(技术修道场):隐蔽攻击!新型恶意技术利用 Windows UI 框架绕过 EDR 防护
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论