天创培训:您身边的信息安全培训专家!
行业动态
热键脚本语言AHK正在迅速成为恶意软件开发者的“新宠”

热键脚本语言AHK正在迅速成为恶意软件开发者的“新宠”

恶意软件研究技术网站Bleeping Computer在上周五发文称,根据多家网络安全公司提供的报告和他们收到的来自恶意软件专家的观点,AutoHotKey(AHK)现在已经成为了构建恶意软件最流行的技术之一。

AutoHotKey,也被称为AHK,是在2003年为微软Windows操作系统开发的开源脚本语言。

AHK的诞生是因为它的创建者尝试过并且未能在类似的Windows脚本语言AutoIt中添加对键盘快捷键(热键)的支持。

尝试改进旧版AutoIt语言的失败促使AHK创建者组建了一个新的脚本引擎,后来成为了AHK,并在短短的几年里发展成为Windows脚本领域的巨人。

除了对重新映射键盘快捷方式的原始支持之外,AHK现在已经发展成为了一个强大的系统,除了可以与本地文件系统交互、监视或关闭程序、设置计划任务,还可以在第三方软件内自动执行重复操作。

此外,由于AHK脚本语言使用的语法相对简单,因此即使非技术用户也能够很容易理解。

从游戏外挂到恶意软件

由于AHK所具备功能的特点,多年以来,AHK已然成为了用于创建游戏作弊工具的主流技术。但近几个月来,该语言已经开始被一些恶意软件开发者所使用。

美国安全公司Ixia在上周二发布的一份报告中表示,基于AHK的恶意软件数量正在不断增加,并对导致这种趋势的原因做出了解释。

Ixia还表示,他们在今年2月底发现了基于AHK的恶意软件样本,这些样本表现为加密货币矿工和剪贴板劫持者。

另一家名为“Cybereason”的网络安全公司在上周三发布了另一份类似的报告,称他们发现了一款基于AHK的键盘记录恶意软件。恶意软件被命名为“Fauxpersky”,因为它在传播过程中伪装成了世界知名的俄罗斯杀毒软件——卡巴斯基(Kaspersky)。

每天都会有新的AHK恶意软件出现

Bleeping Computer表示,Fauxpersky并不只是研究人员发现的唯一一种AHK恶意软件,并且在AHK恶意软件的名单上每天都会增加新的名字。

Ixia的安全研究员Gabriel Cirlig在一次私人谈话中告诉Bleeping Computer说:“基于对样本内容和结构的分析,我们每天都能够发现一些新的样本。”

Cirlig说:“我们每天都会找到类似的剪贴板劫持者、恶意软件加载器、键盘记录器,就它们的代码来说,只是进行了微小的更改。不过,其中有一些已经开始了采用更为复杂的混淆技术和文件结构。”

AHK恶意软件正在向复杂性发展

Cybereason的研究人员Amit Serper和Chris Black将Fauxpersky描述为一种从技术层面谈不上“先进”但在窃取密码方面极具效率的恶意软件。

Serper和Black在他们的报告中写道:“这种恶意软件绝不是先进的,它的开发者并没有投入太多的精力去改变一些琐碎的东西,比如附在文件上的AHK图标。”

不过,Cirlig表示最近几天发现的新型恶意软件已经出现了转变,它们开始变得更加先进,这表明恶意软件开发者正在学习如何利用AHK来完成更为复杂的任务。

Cirlig说:“虽然我们仍在分析,但从我们发现的最新数据来看,其中一个样本包含了五种互相混淆的混淆函数。

这个趋势很明显,那就是在为下一个恶意软件选择开发语言时,恶意软件开发者正越来越倾向于使用AHK。

AHK的地位不会超过其他开发语言

拥有数十年恶意软件研究经验的安全研究员Vesselin Bontchev博士认为,AHK并不会超越其他开发语言,成为开发恶意软件的首选语言。

Bontchev几周前在一封电子邮件中告诉Bleeping Computer:“没有什么特别的,它只是一款强大的脚本语言,可以模拟用户交互。它比的确比另一款脚本语言BAT更强大,因此采用BAT开发恶意软件的人应该会更喜欢它。而现代脚本语言(如Python、PowerShell或VBScript)却更加强大,即使它们在模拟用户交互方面的确不如AHK”

Bontchev 补充说:“一些工具的使用就像是一种时尚,它们的确会在一段时间里变得流行起来。但在之后,它们的流行程度最终都会下降。”

AHK还有很多尚未开发的潜力

Cindig认为,AHK成为恶意软件开发主流语言的趋势很明显,并且可能很快取代AutoIt,因为开发者可以通过它在很短的时间里构建一款简单的恶意软件。

Cindig告诉Bleeping Computer:“AutoIt已经将自己定位为恶意软件开发工具,并且博客文章遍布整个互联网。虽然AHK过去的确只具有较少的功能,但2.0版已经增加了一大堆新功能,这缩小了与AutoIt之间的差距。”

Cindig 补充说:“AHK和AutoIt的主要区别在于前者是开源的,而后者不是。这意味着如果AHK流行起来,那么恶意软件开发者将拥有一个全新的开发平台,并且能够很容易地开发出一款完整的恶意软件。”

另外,由于AHK是恶意软件领域的新成员,所以目前还没有多少工具可以被用来帮助研究人员分析样本。Cybereason的研究团队已经将一款名为“ahk-dumper”的免费工具发布在Github上,可以在工作中帮助到一些恶意软件研究者。