研究人員稱,AutoIt腳本語言因其靈活性和易用性的特點����,已經(jīng)被越來越多的惡意軟件開發(fā)者利用,相應(yīng)的惡意軟件樣本數(shù)量激增����。
AutoIt是一個自動化的Windows界面交互的腳本語言,具有很高的靈活性和較低的學(xué)習(xí)曲線����。然而最近,反病毒廠商趨勢科技和BitDefender的安全研究人員發(fā)現(xiàn)�����,AutoIt的這種優(yōu)勢正在讓它淪為一款惡意軟件開發(fā)工具�。
趨勢科技的威脅研究員Kyle
Wilhoit周一在其博客上稱,他們最近監(jiān)測發(fā)現(xiàn)�,上傳至Pastebin的惡意AutoIt工具代碼數(shù)量持續(xù)上升。這種情況讓人十分擔(dān)憂�����,拿一個常見的工具——鍵盤記錄器來舉例,心懷不軌的人取得它的代碼后��,可以在幾秒鐘之內(nèi)編譯和運行����。
“除了在Pastebin和Pastie網(wǎng)站上發(fā)現(xiàn)的這些工具,我們還看到惡意軟件利用AutoIt作為一個腳本語言的情況也在劇增�,”Wilhoit說。
使用AutoIt開發(fā)惡意軟件的情況自2008年以來一直穩(wěn)步增加��,殺毒軟件廠商BitDefender高級電子郵件分析師Bogdan
Botezatu周二表示��,AutoIt編寫的惡意軟件樣本數(shù)量最近達到高峰�,每月超過20000個。
“最開始���,AutoIt惡意軟件大多數(shù)用于廣告欺詐或者創(chuàng)建具有自我傳播機制的IM蠕蟲�,”博泰扎圖說��?���!叭缃?�,AutoIt惡意軟件的范圍從勒索軟件到遠(yuǎn)程訪問應(yīng)用程序?!?
最近發(fā)現(xiàn)一類特別復(fù)雜的基于AutoIt的惡意軟件,某個版本的DarkComet
RAT(遠(yuǎn)程訪問木馬程序)���,Wilhoit聲稱���,這種惡意軟件在受害者的機器上打開一個后門,通過遠(yuǎn)程命令和控制服務(wù)器進行通信�,并修改Windows防火墻政策。
過去��,DarkComet
RAT被用于有針對性的APT攻擊����,包括敘利亞政府針對該國政治活動家的監(jiān)視活動。趨勢科技發(fā)現(xiàn)這個變種有趣的地方����,即它由AutoIt寫成而且具有非常低的防病毒檢出率。
Botezatu指出����,使用腳本語言來開發(fā)復(fù)雜的惡意軟件不是一種普遍的做法,因為這些語言需要機器上安裝有解釋器來執(zhí)行,否則的話必須生成一個巨大的獨立的可執(zhí)行文件����。不過也有例外,他說:“例如火焰��,該網(wǎng)絡(luò)間諜軟件使用Lua腳本語言自動執(zhí)行一些任務(wù)��,不會被反病毒產(chǎn)品檢測出來���?�!?
AutoIt非常直觀和易于使用��,編譯產(chǎn)生的二進制文件能夠脫離盒子運行�,這已經(jīng)在現(xiàn)有的Windows版本中得到很好的證明�����。此外�����,已經(jīng)有很多AutoIt惡意代碼在活躍在網(wǎng)絡(luò)上并被重復(fù)使用�。
“最重要的是��,在AutoIt中可以靈活地創(chuàng)建惡意軟件��,還能輕松地蒙混過關(guān)。這意味著單一的惡意軟件可以重新制作�,通過多重形態(tài)來對付檢測,以延長它自身的存活周期�����?��!盉otezatu說����。
隨著AutoIt一類腳本語言的普及�,越來越多的惡意軟件開發(fā)者期待轉(zhuǎn)向這些平臺,Wilhoit說:“易于使用和學(xué)習(xí)���,以及在流行的托管站點發(fā)布代碼的優(yōu)勢���,使得一大群心懷不軌的人們得到傳播他們的工具和惡意軟件的機會?���!?
