New Malware Technique Could Exploit Windows UI Framework to Evade EDR Tools
2024/12/11 TheHackerNews — Akamai の研究者が発見した新たなマルウェア手法は、UIA (UI Automation)と呼ばれる Windows のアクセシビリティ・フレームワークを悪用し、EDR (endpoint detection and response) ソリューションに検知されることなく、広範な悪意のアクティビティを可能にするものだ。同社のセキュリティ研究者である Tomer Peled は、「この手法を悪用する攻撃者は、UI Automation を使用するプログラムの実行を、ユーザーに事前に承諾させる必要がある。そうすることで、ステルス・コマンドの実行が可能となり、機密データの収集/フィッシング・サイトへのリダイレクトなどが試行されていく」と、The Hacker News に共有されたレポートで述べている。
それに加えて、このセキュリティの盲点を悪用するローカルの攻撃者は、Slack や WhatsApp などでのコマンド実行や、メッセージの読取/書込の可能性も得る。さらには、ネットワーク上の UI 要素を操作する武器として、それらを悪用する可能性もある。
UI Automation は、Microsoft .NET Framework の一つの要素として、Windows XP で提供が開始されたものだ。各種の UI (user interface) 要素へのプログラムによるアクセスや、スクリーン・リーダーなどの支援技術製品の提供により、ユーザーによる操作を実現してきた。さらに、自動テストのシナリオでも、それらの使用が可能である。
Microsoft はサポート文書で、「通常の場合において、支援技術アプリケーションが必要とするのは、保護されたシステム UI 要素や、高特権レベルで実行されているプロセスへのアクセスである。したがって、支援技術アプリケーションの実行には、システムから信頼された、特別な特権が必要になる。したがって、より高い IL (Integrity Level) プロセスへのアクセスを取得する支援技術アプリケーションは、自身のマニフェストで UIAccess フラグを設定し、管理者特権を持つユーザーにより起動されなければならない」と述べている。
他のアプリケーションの要素との UI インタラクションは、IPC (inter-process communication) のメカニズムとして、COM (Component Object Model) を利用することで実現される。それにより、特定の UI 変更が検出される際に起動されるイベント・ハンドラを設定し、フォーカスを得たアプリケーションとのインタラクションに使用できる、UIA オブジェクトの作成が可能になる。
Akamai の研究で判明したのは、このアプローチには、悪用される可能性があるという点だ。悪用に成功した攻撃者は、以下のような悪意のアクションを実施する可能性を手にするという:
- メッセージの読み取りや書き込み
- 支払い情報などの、Web サイトに入力されたデータの窃取
- カレント・ブラウザに表示されている、Web ページがリフレッシュ/変更される際に、被害者を悪意の Web サイトへとリダイレクトするコマンドの実行
Tomer Peled は、「画面に表示される、ユーザー操作が可能な UI 要素に加えて、さらに多くの要素が事前に読み込まれ、キャッシュに保存されている。画面に表示されていないメッセージの閲覧といった、それらの要素とのインタラクションが可能になる。たとえば、テキスト・ボックスを設定して、画面に反映されることなく、メッセージを送信することも可能になる」と述べている。
しかし、これらの悪意のシナリオについて特筆すべきは、それぞれが UI Automation の設計上の仕様であるという点である。それは、Android のアクセシビリティ・サービス API が悪用され、マルウェアに感染したデバイスから情報を抽出されるという、定番の攻撃方法と同様である。
Peled は、「アプリケーションの本来の目的に、立ち返る必要がある。ユーザーがアプリケーションを使用する際には、それらの許可レベルが不可欠なものとなる。そこに、UIA が Defender を回避できる理由がある。アプリケーションは、異常な動作を検知できない。もし、問題のある動作がバグとして認識されず、標準の機能として認識された場合でも、その機能にマシンのロジックは従うだろう」と述べている。
COM から DCOM へ:横移動の攻撃ベクター
先日に、イスラエルのサイバーセキュリティ企業 Deep Instinct が明らかにしたのは、ネットワーク上での通信を、ソフトウェア・コンポーネント間で実現する DCOM (Distributed COM) リモート・プロトコルが悪用され、カスタム・ペイロードをリモートで書き込んだ後に、埋め込み型のバックドアが作成される可能性である。
セキュリティ研究者の Eliran Nissan は、この攻撃により、「ターゲット・マシンにカスタム DLL を書き込むことが可能であり、サービスにロードした後に、その機能を任意のパラメータで実行できる。このバックドアのような攻撃は、IMsiServer COM インターフェースを悪用する」と詳述している。
しかし、Deep Instinct が指摘するのは、この種の攻撃には、検出/ブロックが可能になる、明確な IoC (indicators of compromise) が残るという点である。さらに、攻撃者と被害者のマシンが、同じドメイン内に存在する必要があるという。
これまでの、DCOM の横移動攻撃に関する研究は、スクリプト記述な可能な性質から、IDispatch ベースの COM オブジェクトに限定されてきた。しかし、新たに発見された DCOM Upload & Execute という手法は、リモートから被害者の Global Assembly Cache にカスタム・ペイロードを書き込み、サービス・コンテキスト通信を実行することで、事実上は組み込み型のバックドアとして機能する。ここで紹介した調査結果は、数多くの予期せぬ DCOM オブジェクトを、横移動に悪用する際の可能性を証明している。企業やユーザーに求められるのは、適切な防御策を講じることだ。
Windows UI Framework を悪用というタイトルですが、その内側にあるのは、Windows の基盤となる COM コンポーネントの問題であり、それらを内包するアプリケーションが信頼されているという状況では、EDR による検出が不能になるという話です。このレベルでのサイバー攻撃が、現実の世界に登場するのかという点ですが、同じく 12月11日に、「Windows Installer を悪用する DCOM 攻撃:バックドアをステルス展開」という記事がポストされています。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.