Phát hiện malware mới khai thác Windows UI Framework để né tránh các công cụ EDR

Một kỹ thuật tấn công malware mới đã được phát triển, sử dụng Windows UI Automation (UIA) – một framework hỗ trợ truy cập giao diện người dùng (UI) của Windows – để thực hiện các hành vi độc hại mà không bị phát hiện bởi các công cụ Endpoint Detection and Response (EDR).

Theo nhà nghiên cứu bảo mật Tomer Peled của Akamai, kỹ thuật này yêu cầu người dùng bị lừa chạy một chương trình sử dụng UI Automation. Sau khi được kích hoạt, kỹ thuật này có thể thực hiện lệnh mà không gây cảnh báo, thu thập dữ liệu nhạy cảm như thông tin thanh toán, chuyển hướng trình duyệt đến các trang phishing, và tương tác với ứng dụng nhắn tin như Slack hoặc WhatsApp để đọc/ghi tin nhắn.

Thậm chí, kỹ thuật này còn có thể bị lạm dụng để điều khiển UI qua mạng, mở ra tiềm năng tấn công từ xa mà không cần tương tác trực tiếp với máy nạn nhân.

Ra mắt lần đầu trên Windows XP, UI Automation cung cấp quyền truy cập vào các thành phần giao diện người dùng, giúp hỗ trợ các ứng dụng công nghệ như screen readers và các công cụ kiểm thử tự động. Microsoft giải thích rằng để truy cập các phần tử hệ thống bảo vệ hoặc các process có đặc quyền cao hơn, ứng dụng cần cài đặt cờ UIAccess trong manifest và được khởi chạy bởi người dùng có quyền admin.

Kỹ thuật này cho phép kẻ tấn công đọc/ghi tin nhắn trên ứng dụng nhắn tin, ngay cả khi chúng chưa hiển thị trên màn hình. Ngoài ra, kẻ tấn công có thể thay đổi nội dung trong hộp thoại, hoặc chuyển hướng người dùng đến các trang web độc hại khi trình duyệt làm mới trang.

Điều đáng lưu ý là các kịch bản này thực tế đều là tính năng của UI Automation. Điều này tương tự như cách Android accessibility services API bị lạm dụng để lấy thông tin từ các thiết bị bị xâm nhập.

Ngoài ra, nghiên cứu từ Deep Instinct còn chỉ ra rằng Distributed COM (DCOM) Remote Protocol – giao thức cho phép các thành phần phần mềm giao tiếp qua mạng – cũng có thể bị khai thác để tạo backdoor nhúng từ xa.

Phương pháp này cho phép kẻ tấn công ghi DLL tùy chỉnh lên máy mục tiêu, tải nó vào một dịch vụ và thực thi với tham số tùy ý. Tuy nhiên, phương pháp này để lại nhiều dấu hiệu xâm nhập (IoCs) rõ ràng, dễ bị phát hiện và yêu cầu máy của kẻ tấn công phải nằm trong cùng một domain với nạn nhân.

Những phát hiện này cho thấy nguy cơ từ các đối tượng ít được chú ý như UI Automation và DCOM, đồng thời nhấn mạnh sự cần thiết của việc nâng cấp các biện pháp bảo mật. Các tổ chức cần theo dõi kỹ các IoCs, kiểm tra các giao thức DCOM, và áp dụng các chính sách bảo mật chặt chẽ hơn để bảo vệ hệ thống trước các mối đe dọa ngày càng tinh vi.

Nguồn: The Hacker News