맬웨어 개발자가 사용하는 AutoIt 스크립팅

Windows 인터페이스 상호 작용 자동화를위한 스크립팅 언어 인 AutoIt은 유연성과 낮은 학습 곡선으로 인해 맬웨어 개발자들에 의해 점점 더 많이 사용되고있다. Pylebin에 업로드되는 악의적 인 AutoIt 툴 코드의 양이 최근에 증가한 것을 보았습니다. "안티 바이러스 벤더 Trend Micro의 위협 연구원 인 Kyle Wilhoit은 블로그 게시물에서 월요일에 말했다. "흔히 볼 수있는 도구는 키로거 (keylogger)입니다. 이 코드를 잡으면 악의적 인 의도가있는 사람이라면 누구든지 신속하게 컴파일하고 실행할 수 있습니다. "

"Pastebin 및 Pastie와 같은 사이트에서 도구를 찾을 수있을뿐만 아니라 멀웨어도 엄청나게 증가하고 있습니다 AutoIt을 스크립팅 언어로 활용하는 방법 "

[추가 정보: Windows PC에서 악성 코드 제거 방법]

맬웨어 개발에 AutoIt을 사용하는 방법은 2008 년 이후 꾸준히 증가하고 있다고 Bogdan Botezatu, 화요일 안티 바이러스 공급 업체 Bitdefender의 위협 분석가가 이메일을 통해 밝혔다. AutoIt에 코딩 된 맬웨어 샘플의 수는 최근 2 개월 이상으로 최고치를 기록했다고 그는 전했다. "초기에는 AutoIt 맬웨어가 광고 사기 나 IM의 자체 전파 메커니즘을 위해 주로 사용되었습니다 [인스턴트 메시징] 웜 "이라고 Botezatu가 말했다. "최근에는 AutoIt 맬웨어가 ransomware에서 원격 액세스 응용 프로그램에 이르기까지 다양합니다."


AutoIt 기반 맬웨어 중 특히 정교한 부분 중 하나는 DarkComet RAT (원격 액세스 트로이 프로그램) 버전이었습니다. 이 악성 코드는 피해자의 컴퓨터에 백도어를 열어 원격 명령 및 제어 서버와 통신하고 Windows 방화벽 정책을 수정한다고 그는 말합니다.

DarkComet RAT는 과거의 APT 스타일의 공격에 사용되었습니다. 시리아 정부는이 나라의 정치 활동가들에 대해 스파이 활동을 벌이고있다. Trend Micro가 발견 한 변종에 대해 흥미로운 점은 AutoIt로 작성되었으며 매우 낮은 안티 바이러스 탐지 비율입니다.

정교한 맬웨어를 개발하는 데 스크립팅 언어를 사용하는 것은 널리 통용되는 것은 아니지만 대부분의 언어에서 통역사가 필요하기 때문에 Botezatu는 컴퓨터에 설치되거나 매우 큰 독립 실행 형 파일을 생성 할 것이라고 말했습니다.

그러나 예외가있었습니다. 예를 들어 Flame cyberespionage 맬웨어는 바이러스 백신 제품에 의해 감지되지 않고 일부 작업을 자동화하기 위해 LUA 스크립팅 언어를 사용한다고 Botezatu는 말했습니다.

AutoIt은 매우 직관적이며 사용하기 쉽고 현대 Windows에서 즉시 사용할 수있는 컴파일 된 바이너리를 생성합니다 버전과 잘 문서화 된, Bitdefender 연구원은 말했다. 그는 또한 웹에서 재사용을 위해 사용할 수있는 악성 AutoIt 코드가 많다고 덧붙였습니다.

"가장 중요한 점은 AutoIt에서 생성 된 멀웨어는 매우 유연하며 쉽게 모호해질 수 있다는 것입니다. 즉, 작성된 단일 악성 코드 오토 티 (AutoIt)와 같은 스크립팅 언어가 지속적으로 인기를 얻으면서 더 많은 맬웨어 개발자들이 그들로 이주 할 것으로 예상된다 "며" 윌트 대변인은 말했다. "인기있는 드롭 사이트에 코드를 쉽게 게시 할 수있는 기능뿐 아니라 사용 및 학습의 용이성은 도구 및 악성 코드를 전파하려는 악의적 인 의도를 가진 배우에게 큰 기회가됩니다."