Windows UI Automation: когда штатные функции системы превращаются в оружие

Добро пожаловать на наш форум!

Спасибо за посещение нашего сообщества. Пожалуйста, зарегистрируйтесь или войдите, чтобы получить доступ ко всем функциям.


Gibby

Автор
Команда проекта

Регистрация
Сообщений
1,645
Репутация
45
Сделок
Исследователи обнаружили тайный цифровой лаз, о котором даже не подозревают пользователи.

1.jpg

Исследователи из компании Akamai обнаружили, что злоумышленники начали эксплуатировать встроенный в Windows фреймворк UI Automation (UIA), предназначенный для работы с элементами пользовательского интерфейса, чтобы скрытно выполнять вредоносные действия. Эта техника позволяет обходить системы обнаружения угроз, такие как EDR.

UIA, изначально внедрённый ещё в Windows XP в составе .NET Framework, разработан для помощи пользователям с ограниченными возможностями и автоматизированного тестирования. Однако его возможности предоставляют злоумышленникам доступ к данным, перенаправление браузеров на фишинговые сайты и выполнение скрытых команд.

По данным исследователей, чтобы использовать эту технику, жертву нужно лишь убедить запустить специальную программу, использующую UI Automation. Это позволяет злоумышленникам взаимодействовать с элементами интерфейса других приложений, перехватывать сообщения из мессенджеров и даже отправлять их без отображения на экране.

Особенность UI Automation в том, что данный фреймворк взаимодействует с элементами интерфейса через механизм IPC Component Object Model (COM). Это даёт возможность манипулировать интерфейсом приложений в фокусе. При этом разрешения и привилегии, предоставляемые UIA, считаются штатными функциями системы.

Специалисты также отметили, что благодаря заранее загруженным элементам интерфейса в кэш злоумышленники могут перехватывать невидимые на экране сообщения и даже отправлять текст без отображения изменений в интерфейсе. Эти возможности делают технику особенно опасной для корпоративных приложений, таких как Slack и WhatsApp.

Каждый из описанных сценариев, по сути, является нормальной функциональностью UI Automation, отмечают исследователи. Microsoft подчёркивает, что приложения, использующие UIA, должны обладать специальными привилегиями. Однако хакеры с лёгкостью обходят эти ограничения в своих атаках, используя фреймворк во вред.

Эта техника напоминает схему атак с использованием API служб специальных возможностей Android, которые часто применяются для кражи данных на заражённых устройствах. Основная проблема заключается в том, что в случае с Windows системы защиты распознают действия UIA как штатные функции, а не как угрозу.

Эксплуатация UI Automation демонстрирует, как стандартные функции ОС могут быть использованы для скрытного выполнения атак, оставаясь невидимыми для антивирусов. Специалисты рекомендуют повышенное внимание к таким механизмам и ограничение их использования на корпоративных устройствах.

 
Сверху