{"id":1482087,"date":"2024-12-11T15:51:05","date_gmt":"2024-12-11T15:51:05","guid":{"rendered":"https:\/\/teknomers.com\/es\/una-nueva-tecnica-de-malware-podria-aprovechar-el-marco-de-la-interfaz-de-usuario-de-windows-para-evadir-las-herramientas-edr\/"},"modified":"2024-12-11T15:51:10","modified_gmt":"2024-12-11T15:51:10","slug":"una-nueva-tecnica-de-malware-podria-aprovechar-el-marco-de-la-interfaz-de-usuario-de-windows-para-evadir-las-herramientas-edr","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/una-nueva-tecnica-de-malware-podria-aprovechar-el-marco-de-la-interfaz-de-usuario-de-windows-para-evadir-las-herramientas-edr\/","title":{"rendered":"Una nueva t\u00e9cnica de malware podr\u00eda aprovechar el marco de la interfaz de usuario de Windows para evadir las herramientas EDR"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>11 de diciembre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Malware\/Seguridad de terminales<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Una t\u00e9cnica recientemente ideada aprovecha un marco de accesibilidad de Windows llamado Automatizaci\u00f3n de la interfaz de usuario (UIA)<\/b> para realizar una amplia gama de actividades maliciosas sin alertar a las soluciones de detecci\u00f3n y respuesta de endpoints (EDR).<\/p>\n

“Para explotar esta t\u00e9cnica, se debe convencer al usuario de que ejecute un programa que utilice UI Automation”, dijo el investigador de seguridad de Akamai, Tomer Peled, en un informe<\/a> compartido con The Hacker News. “Esto puede llevar a la ejecuci\u00f3n sigilosa de comandos, lo que puede recopilar datos confidenciales, redirigir los navegadores a sitios web de phishing y m\u00e1s”.<\/p>\n

Peor a\u00fan, los atacantes locales podr\u00edan aprovechar este punto ciego de seguridad para ejecutar comandos y leer\/escribir mensajes desde\/hacia aplicaciones de mensajer\u00eda como Slack y WhatsApp. Adem\u00e1s de eso, tambi\u00e9n podr\u00eda usarse como arma para manipular elementos de la interfaz de usuario a trav\u00e9s de una red.<\/p>\n

Disponible por primera vez en Windows XP como parte de Microsoft .NET Framework, UI Automation es dise\u00f1ado<\/a> para proporcionar acceso program\u00e1tico a varios elementos de la interfaz de usuario (UI) y ayudar a los usuarios a manipularlos utilizando productos de tecnolog\u00eda de asistencia, como lectores de pantalla. Tambi\u00e9n puede ser usado<\/a> en escenarios de pruebas automatizadas.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Las aplicaciones de tecnolog\u00eda de asistencia normalmente necesitan acceso a los elementos protegidos de la interfaz de usuario del sistema o a otros procesos que podr\u00edan estar ejecut\u00e1ndose con un nivel de privilegio m\u00e1s alto”, Microsoft notas<\/a> en un documento de soporte. “Por lo tanto, el sistema debe confiar en las aplicaciones de tecnolog\u00eda de asistencia y deben ejecutarse con privilegios especiales”.<\/p>\n

“Para obtener acceso a procesos de IL superiores, una aplicaci\u00f3n de tecnolog\u00eda de asistencia debe configurar el indicador UIAccess en el manifiesto de la aplicaci\u00f3n y ser iniciada por un usuario con privilegios de administrador”.<\/p>\n

Las interacciones de la interfaz de usuario con elementos de otras aplicaciones se logran mediante el uso del modelo de objetos componentes (COM<\/a>) como mecanismo de comunicaci\u00f3n entre procesos (IPC). Esto hace posible crear objetos UIA que se pueden usar para interactuar con una aplicaci\u00f3n enfocada configurando un controlador de eventos que se activa cuando se detectan ciertos cambios en la interfaz de usuario.<\/p>\n

\"\"<\/a><\/div>\n

La investigaci\u00f3n de Akamai encontr\u00f3 que este enfoque tambi\u00e9n podr\u00eda abrir una v\u00eda para el abuso, permitiendo a actores maliciosos leer\/escribir mensajes, robar datos ingresados \u200b\u200ben sitios web (por ejemplo, informaci\u00f3n de pago) y ejecutar comandos que redirigen a las v\u00edctimas a sitios web maliciosos cuando se muestra una p\u00e1gina web actualmente. La p\u00e1gina en un navegador se actualiza o cambia.<\/p>\n

“Adem\u00e1s de los elementos de la interfaz de usuario que se muestran actualmente en la pantalla con los que podemos interactuar, se cargan m\u00e1s elementos por adelantado y se colocan en un cach\u00e9”, se\u00f1al\u00f3 Peled. “Tambi\u00e9n podemos interactuar con esos elementos, como leer mensajes que no se muestran en pantalla, o incluso configurar el cuadro de texto y enviar mensajes sin que se refleje en pantalla”.<\/p>\n

Dicho esto, vale la pena se\u00f1alar que cada uno de estos escenarios maliciosos es una caracter\u00edstica prevista de la automatizaci\u00f3n de la interfaz de usuario, al igual que la API de servicios de accesibilidad de Android se ha convertido en una forma b\u00e1sica para que el malware extraiga informaci\u00f3n de los dispositivos comprometidos.<\/p>\n

“Esto se remonta al prop\u00f3sito previsto de la aplicaci\u00f3n: esos niveles de permisos deben existir para poder utilizarla”, a\u00f1adi\u00f3 Peled. “Esta es la raz\u00f3n por la que UIA puede eludir Defender: la aplicaci\u00f3n no encuentra nada fuera de lo com\u00fan. Si algo se ve como una caracter\u00edstica en lugar de un error, la l\u00f3gica de la m\u00e1quina seguir\u00e1 la caracter\u00edstica”.<\/p>\n

De COM a DCOM: un vector de ataque de movimiento lateral<\/h3>\n

La divulgaci\u00f3n se produce cuando Deep Instinct revel\u00f3 que el COM distribuido (DCOM<\/a>) el protocolo remoto, que permite que los componentes de software se comuniquen a trav\u00e9s de una red, podr\u00eda aprovecharse para escribir de forma remota cargas \u00fatiles personalizadas para crear una puerta trasera integrada.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

El ataque “permite escribir archivos DLL personalizados en una m\u00e1quina objetivo, cargarlos en un servicio y ejecutar su funcionalidad con par\u00e1metros arbitrarios”, dijo el investigador de seguridad Eliran Nissan. dicho<\/a>. “Este ataque tipo puerta trasera abusa de la interfaz COM de IMsiServer”.<\/p>\n

Dicho esto, la empresa israel\u00ed de ciberseguridad se\u00f1al\u00f3 que un ataque de este tipo deja claros indicadores de compromiso (IoC) que pueden ser detectados y bloqueados. Adem\u00e1s, requiere que las m\u00e1quinas del atacante y de la v\u00edctima est\u00e9n en el mismo dominio.<\/p>\n

\"\"<\/a><\/div>\n

“Hasta ahora, Ataques de movimiento lateral DCOM<\/a> han sido investigados exclusivamente en objetos COM basados \u200b\u200ben IDispatch debido a su naturaleza programable”, dijo Nissan. El nuevo ‘Carga y ejecuci\u00f3n de DCOM<\/a>‘m\u00e9todo “escribe de forma remota cargas \u00fatiles personalizadas en el servidor de la v\u00edctima [Global Assembly Cache]los ejecuta desde un contexto de servicio y se comunica con ellos, funcionando efectivamente como una puerta trasera integrada”.<\/p>\n

“La investigaci\u00f3n presentada aqu\u00ed demuestra que muchos objetos DCOM inesperados pueden ser explotables para el movimiento lateral, y se deben alinear las defensas adecuadas”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n