惡意軟件研究技術網站Bleeping Computer在上週五發文稱，根據多家網絡安全公司提供的報告和他們收到的來自惡意軟件專家的觀點，AutoHotKey（AHK）現在已經成爲了構建惡意軟件最流行的技術之一。

AutoHotKey，也被稱爲AHK，是在2003年爲微軟Windows操作系統開發的開源腳本語言。

AHK的誕生是因爲它的創建者嘗試過並且未能在類似的Windows腳本語言AutoIt中添加對鍵盤快捷鍵（熱鍵）的支持。

嘗試改進舊版AutoIt語言的失敗促使AHK創建者組建了一個新的腳本引擎，後來成爲了AHK，並在短短的幾年裏發展成爲Windows腳本領域的巨人。

除了對重新映射鍵盤快捷方式的原始支持之外，AHK現在已經發展成爲了一個強大的系統，除了可以與本地文件系統交互、監視或關閉程序、設置計劃任務，還可以在第三方軟件內自動執行重複操作。

此外，由於AHK腳本語言使用的語法相對簡單，因此即使非技術用戶也能夠很容易理解。

從遊戲外掛到惡意軟件

由於AHK所具備功能的特點，多年以來，AHK已然成爲了用於創建遊戲作弊工具的主流技術。但近幾個月來，該語言已經開始被一些惡意軟件開發者所使用。

美國安全公司Ixia在上週二發佈的一份報告中表示，基於AHK的惡意軟件數量正在不斷增加，並對導致這種趨勢的原因做出瞭解釋。

Ixia還表示，他們在今年2月底發現了基於AHK的惡意軟件樣本，這些樣本表現爲加密貨幣礦工和剪貼板劫持者。

另一家名爲“Cybereason”的網絡安全公司在上週三發佈了另一份類似的報告，稱他們發現了一款基於AHK的鍵盤記錄惡意軟件。惡意軟件被命名爲“Fauxpersky”，因爲它在傳播過程中僞裝成了世界知名的俄羅斯殺毒軟件——卡巴斯基（Kaspersky）。

每天都會有新的AHK惡意軟件出現

Bleeping Computer表示，Fauxpersky並不只是研究人員發現的唯一一種AHK惡意軟件，並且在AHK惡意軟件的名單上每天都會增加新的名字。

Ixia的安全研究員Gabriel Cirlig在一次私人談話中告訴Bleeping Computer說：“基於對樣本內容和結構的分析，我們每天都能夠發現一些新的樣本。”

Cirlig說：“我們每天都會找到類似的剪貼板劫持者、惡意軟件加載器、鍵盤記錄器，就它們的代碼來說，只是進行了微小的更改。不過，其中有一些已經開始了採用更爲複雜的混淆技術和文件結構。”

AHK惡意軟件正在向複雜性發展

Cybereason的研究人員Amit Serper和Chris Black將Fauxpersky描述爲一種從技術層面談不上“先進”但在竊取密碼方面極具效率的惡意軟件。

Serper和Black在他們的報告中寫道：“這種惡意軟件絕不是先進的，它的開發者並沒有投入太多的精力去改變一些瑣碎的東西，比如附在文件上的AHK圖標。”

不過，Cirlig表示最近幾天發現的新型惡意軟件已經出現了轉變，它們開始變得更加先進，這表明惡意軟件開發者正在學習如何利用AHK來完成更爲複雜的任務。

Cirlig說：“雖然我們仍在分析，但從我們發現的最新數據來看，其中一個樣本包含了五種互相混淆的混淆函數。

這個趨勢很明顯，那就是在爲下一個惡意軟件選擇開發語言時，惡意軟件開發者正越來越傾向於使用AHK。

AHK的地位不會超過其他開發語言

擁有數十年惡意軟件研究經驗的安全研究員Vesselin Bontchev博士認爲，AHK並不會其他開發語言，成爲開發惡意軟件的首選語言。

Bontchev幾周前在一封電子郵件中告訴Bleeping Computer：“沒有什麼特別的，它只是一款強大的腳本語言，可以模擬用戶交互。它比的確比另一款腳本語言BAT更強大，因此採用BAT開發惡意軟件的人應該會更喜歡它。而現代腳本語言（如Python、PowerShell或VBScript）卻更加強大，即使它們在模擬用戶交互方面的確不如AHK”

Bontchev 補充說：“一些工具的使用就像是一種時尚，它們的確會在一段時間裏變得流行起來。但在之後，它們的流行程度最終都會下降。”

AHK還有很多尚未開發的潛力

Cindig認爲，AHK成爲惡意軟件開發主流語言的趨勢很明顯，並且可能很快取代AutoIt，因爲開發者可以通過它在很短的時間裏構建一款簡單的惡意軟件。

Cindig告訴Bleeping Computer：“AutoIt已經將自己定位爲惡意軟件開發工具，並且博客文章遍佈整個互聯網。雖然AHK過去的確只具有較少的功能，但2.0版已經增加了一大堆新功能，這縮小了與AutoIt之間的差距。”

Cindig 補充說：“AHK和AutoIt的主要區別在於前者是開源的，而後者不是。這意味着如果AHK流行起來，那麼惡意軟件開發者將擁有一個全新的開發平臺，並且能夠很容易地開發出一款完整的惡意軟件。”

另外，由於AHK是惡意軟件領域的新成員，所以目前還沒有多少工具可以被用來幫助研究人員分析樣本。Cybereason的研究團隊已經將一款名爲“ahk-dumper”的免費工具發佈在Github上，可以在工作中幫助到一些惡意軟件研究者。

本文由 黑客視界 綜合網絡整理，圖片源自網絡；轉載請註明“轉自黑客視界”，並附上鍊接。