研究人員稱�,AutoIt腳本語言因其靈活性和易用性的特點,已經被越來越多的惡意軟件開發(fā)者利用���,相應的惡意軟件樣本數量激增�。
AutoIt是一個自動化的Windows界面交互的腳本語言�,具有很高的靈活性和較低的學習曲線�����。然而最近��,反病毒廠商趨勢科技和BitDefender的安全研究人員發(fā)現�,AutoIt的這種優(yōu)勢正在讓它淪為一款惡意軟件開發(fā)工具���。
趨勢科技的威脅研究員Kyle
Wilhoit周一在其博客上稱���,他們最近監(jiān)測發(fā)現,上傳至Pastebin的惡意AutoIt工具代碼數量持續(xù)上升�����。這種情況讓人十分擔憂��,拿一個常見的工具——鍵盤記錄器來舉例����,心懷不軌的人取得它的代碼后,可以在幾秒鐘之內編譯和運行����。
“除了在Pastebin和Pastie網站上發(fā)現的這些工具�����,我們還看到惡意軟件利用AutoIt作為一個腳本語言的情況也在劇增���,”Wilhoit說。
使用AutoIt開發(fā)惡意軟件的情況自2008年以來一直穩(wěn)步增加�,殺毒軟件廠商BitDefender高級電子郵件分析師Bogdan
Botezatu周二表示�,AutoIt編寫的惡意軟件樣本數量最近達到高峰,每月超過20000個���。
“最開始�,AutoIt惡意軟件大多數用于廣告欺詐或者創(chuàng)建具有自我傳播機制的IM蠕蟲�����,”博泰扎圖說���?�!叭缃?�,AutoIt惡意軟件的范圍從勒索軟件到遠程訪問應用程序�。”
最近發(fā)現一類特別復雜的基于AutoIt的惡意軟件����,某個版本的DarkComet
RAT(遠程訪問木馬程序),Wilhoit聲稱�,這種惡意軟件在受害者的機器上打開一個后門,通過遠程命令和控制服務器進行通信�,并修改Windows防火墻政策。
過去����,DarkComet
RAT被用于有針對性的APT攻擊,包括敘利亞政府針對該國政治活動家的監(jiān)視活動��。趨勢科技發(fā)現這個變種有趣的地方����,即它由AutoIt寫成而且具有非常低的防病毒檢出率。
Botezatu指出��,使用腳本語言來開發(fā)復雜的惡意軟件不是一種普遍的做法��,因為這些語言需要機器上安裝有解釋器來執(zhí)行��,否則的話必須生成一個巨大的獨立的可執(zhí)行文件。不過也有例外����,他說:“例如火焰,該網絡間諜軟件使用Lua腳本語言自動執(zhí)行一些任務�,不會被反病毒產品檢測出來?�!?
AutoIt非常直觀和易于使用�,編譯產生的二進制文件能夠脫離盒子運行,這已經在現有的Windows版本中得到很好的證明�����。此外����,已經有很多AutoIt惡意代碼在活躍在網絡上并被重復使用�����。
“最重要的是����,在AutoIt中可以靈活地創(chuàng)建惡意軟件��,還能輕松地蒙混過關���。這意味著單一的惡意軟件可以重新制作,通過多重形態(tài)來對付檢測�����,以延長它自身的存活周期�。”Botezatu說���。
隨著AutoIt一類腳本語言的普及�����,越來越多的惡意軟件開發(fā)者期待轉向這些平臺�����,Wilhoit說:“易于使用和學習���,以及在流行的托管站點發(fā)布代碼的優(yōu)勢,使得一大群心懷不軌的人們得到傳播他們的工具和惡意軟件的機會�����。”
