一种利用微软传统UI自动化框架的新型攻击技术公布

Akamai安全研究员Tomer Peled公布了一种利用微软传统UI自动化框架的新型攻击技术。研究结果揭示了攻击者如何利用该框架绕过现代端点检测和响应（EDR）系统，从而引发重大网络安全问题。

微软的UI自动化框架是在Windows XP时代推出的，旨在帮助残疾用户，提供更高的权限来操作用户界面（UI）元素。根据 Peled 的说法，“UI 自动化需要权限才能操作屏幕上存在的几乎所有 UI 元素”。这种功能虽然有利于无障碍操作，但却为攻击者提供了一条隐秘操作的途径。

Peled 的研究强调了攻击者如何滥用 UI Automation 来达到以下目的：

渗出敏感数据，如信用卡详细信息。

将浏览器重定向到钓鱼网站。

操纵 Slack 和 WhatsApp 等聊天应用程序读写信息。

这种技术最令人担忧的一点是它无法被检测工具发现。Peled 指出：“我们针对这种技术测试过的所有 EDR 技术都无法发现任何恶意活动。”这使它成为威胁行为者的一个有吸引力的选择，尤其是因为它适用于从 XP 开始的所有 Windows 操作系统。

这种攻击利用组件对象模型（COM）来操纵跨应用程序的用户界面元素。通过设置事件处理程序，攻击者可以监控用户界面元素并与之交互，包括从活动窗口读取敏感数据或模拟用户输入以执行命令。

Peled 的报告概述了概念验证（PoC）攻击，以展示威胁的严重性。在一个例子中，攻击者设置了处理程序，以获取在线商家网站上输入的信用卡详细信息。在另一个场景中，浏览器被重定向到使用 UI Automation 的钓鱼网站，从而使攻击者能够部署漏洞或窃取凭证。

漏洞挂马

近期，一个被长期跟踪监控的银狐木马团队在传播手段上又有了新的变化。除了继续通过以往的传播途径外，该团队还进一步新增了对政企网站的挂马攻击。具体而言，他们是利用了正规网站中所存在的已公开漏洞，将银狐木马和钓鱼页面植入到网站中，再进行传播。这些政企网站就成了银狐木马的“传播源”，被攻击的网站包括政府网站、企事业单位网站和多家大型国企网站。这些网站的网址，一般会受到聊天软件和安全软件的信任，利用这些网站进行挂马，更容易突破防御进行传播，也更容易获得用户信任。

被攻击者利用的，主要是Web应用的上传漏洞。利用图片，附件等的上传接口，很多应用对上传接口检测不严格，对上传文件的访问没有限制，造成攻击者上传病毒文件或挂马页面，之后获取到访问链接，就能够直接传播和发起攻击。

目前发现已被利用的网站漏洞有KindEditor、WordPress、UEditor、ThinkPHP等数十款热门Web应用漏洞。国内某博物馆的主页便使用了带有漏洞的UEditor编辑器，这也导致了其主页被黑客篡改并植入了银狐木马。一旦有用户访问该页面，便会执行恶意链接并跳转到某盘的木马下载共享链接进行木马下载操作。

由于该网站属于是正规网站，可信度较高，用户难免放松警惕执行了木马，最终导致用户的机器遭到银狐木马的感染和控制。