熱鍵腳本語言AHK正在迅速成為惡意軟件開發者的“新寵”
惡意軟件研究技術網站Bleeping Computer在上周五發文稱,根據多家網絡安全公司提供的報告和他們收到的來自惡意軟件專家的觀點,AutoHotKey(AHK)現在已經成為了構建惡意軟件最流行的技術之一。
AutoHotKey,也被稱為AHK,是在2003年為微軟Windows操作系統開發的開源腳本語言。
AHK的誕生是因為它的創建者嘗試過并且未能在類似的Windows腳本語言AutoIt中添加對鍵盤快捷鍵(熱鍵)的支持。
嘗試改進舊版AutoIt語言的失敗促使AHK創建者組建了一個新的腳本引擎,后來成為了AHK,并在短短的幾年里發展成為Windows腳本領域的巨人。
除了對重新映射鍵盤快捷方式的原始支持之外,AHK現在已經發展成為了一個強大的系統,除了可以與本地文件系統交互、監視或關閉程序、設置計劃任務,還可以在第三方軟件內自動執行重復操作。
此外,由于AHK腳本語言使用的語法相對簡單,因此即使非技術用戶也能夠很容易理解。
從游戲外掛到惡意軟件
由于AHK所具備功能的特點,多年以來,AHK已然成為了用于創建游戲作弊工具的主流技術。但近幾個月來,該語言已經開始被一些惡意軟件開發者所使用。
美國安全公司Ixia在上周二發布的一份報告中表示,基于AHK的惡意軟件數量正在不斷增加,并對導致這種趨勢的原因做出了解釋。
Ixia還表示,他們在今年2月底發現了基于AHK的惡意軟件樣本,這些樣本表現為加密貨幣礦工和剪貼板劫持者。
另一家名為“Cybereason”的網絡安全公司在上周三發布了另一份類似的報告,稱他們發現了一款基于AHK的鍵盤記錄惡意軟件。惡意軟件被命名為“Fauxpersky”,因為它在傳播過程中偽裝成了世界知名的俄羅斯殺毒軟件——卡巴斯基(Kaspersky)。
每天都會有新的AHK惡意軟件出現
Bleeping Computer表示,Fauxpersky并不只是研究人員發現的唯一一種AHK惡意軟件,并且在AHK惡意軟件的名單上每天都會增加新的名字。
Ixia的安全研究員Gabriel Cirlig在一次私人談話中告訴Bleeping Computer說:“基于對樣本內容和結構的分析,我們每天都能夠發現一些新的樣本。”
Cirlig說:“我們每天都會找到類似的剪貼板劫持者、惡意軟件加載器、鍵盤記錄器,就它們的代碼來說,只是進行了微小的更改。不過,其中有一些已經開始了采用更為復雜的混淆技術和文件結構。”
AHK惡意軟件正在向復雜性發展
Cybereason的研究人員Amit Serper和Chris Black將Fauxpersky描述為一種從技術層面談不上“先進”但在竊取密碼方面極具效率的惡意軟件。
Serper和Black在他們的報告中寫道:“這種惡意軟件絕不是先進的,它的開發者并沒有投入太多的精力去改變一些瑣碎的東西,比如附在文件上的AHK圖標。”
不過,Cirlig表示最近幾天發現的新型惡意軟件已經出現了轉變,它們開始變得更加先進,這表明惡意軟件開發者正在學習如何利用AHK來完成更為復雜的任務。
Cirlig說:“雖然我們仍在分析,但從我們發現的最新數據來看,其中一個樣本包含了五種互相混淆的混淆函數。
這個趨勢很明顯,那就是在為下一個惡意軟件選擇開發語言時,惡意軟件開發者正越來越傾向于使用AHK。
AHK的地位不會超過其他開發語言
擁有數十年惡意軟件研究經驗的安全研究員Vesselin Bontchev博士認為,AHK并不會超越其他開發語言,成為開發惡意軟件的首選語言。
幾周前在一封電子郵件中告訴Bleeping Computer:“沒有什么特別的,它只是一款強大的腳本語言,可以模擬用戶交互。它比的確比另一款腳本語言BAT更強大,因此采用BAT開發惡意軟件的人應該會更喜歡它。而現代腳本語言(如Python、PowerShell或VBScript)卻更加強大,即使它們在模擬用戶交互方面的確不如AHK”
Bontchev 補充說:“一些工具的使用就像是一種時尚,它們的確會在一段時間里變得流行起來。但在之后,它們的流行程度最終都會下降。”
AHK還有很多尚未開發的潛力
Cindig認為,AHK成為惡意軟件開發主流語言的趨勢很明顯,并且可能很快取代AutoIt,因為開發者可以通過它在很短的時間里構建一款簡單的惡意軟件。
Cindig告訴Bleeping Computer:“AutoIt已經將自己定位為惡意軟件開發工具,并且博客文章遍布整個互聯網。雖然AHK過去的確只具有較少的功能,但2.0版已經增加了一大堆新功能,這縮小了與AutoIt之間的差距。”
Cindig 補充說:“AHK和AutoIt的主要區別在于前者是開源的,而后者不是。這意味著如果AHK流行起來,那么惡意軟件開發者將擁有一個全新的開發平臺,并且能夠很容易地開發出一款完整的惡意軟件。”
另外,由于AHK是惡意軟件領域的新成員,所以目前還沒有多少工具可以被用來幫助研究人員分析樣本。Cybereason的研究團隊已經將一款名為“ahk-dumper”的免費工具發布在Github上,可以在工作中幫助到一些惡意軟件研究者。
來源:黑客視界
