MITRE ATT&CK T1059.010 - Интерпретаторы командной строки и сценариев: AutoHotKey и AutoIT

MITRE ATT&CK

AutoHotKey (AHK) и AutoIt - это скриптовые языки и средства автоматизации, предназначенные для автоматизации повторяющихся задач и создания макросов в системах Windows. Здесь рассказывается о том, как злоумышленники используют AHK и AutoIt для выполнения вредоносного кода или автоматизации действий на взломанных системах. Эти инструменты часто используются для выполнения таких задач, как внедрение нажатия клавиш, манипулирование пользовательским интерфейсом и создание системных макросов, что позволяет выполнять действия, которые обычно не входят в стандартные операции легитимного программного обеспечения.

Использование злоумышленниками AutoHotKey и AutoIT

AutoHotKey и AutoIT популярны благодаря своей простоте и гибкости в автоматизации задач и создании автономных сценариев, которые могут выполняться в среде Windows без использования внешних инструментов или сложной инфраструктуры. Хотя оба инструмента являются легитимными, злоумышленники могут использовать их для выполнения вредоносных действий, что делает их полезными в контексте кибератак.

AutoHotKey

AutoHotKey - это бесплатный скриптовый язык с открытым исходным кодом, предназначенный в первую очередь для автоматизации графического интерфейса Windows и написания общих сценариев. Он позволяет пользователям создавать макросы и автоматизировать повторяющиеся задачи. Язык очень доступен, и злоумышленники могут использовать его для:

  • Имитировать нажатия клавиш и движения мыши для взаимодействия с системой.
  • Внедрять вредоносную полезную нагрузку в запущенные приложения.
  • Кражи учетных данных, перехватывая конфиденциальную информацию, например пароли, путем имитации ввода данных пользователем.

Злоумышленники могут компилировать эти скрипты в исполняемые файлы (.exe), которые зачастую сложнее обнаружить, чем обычные скрипты, поскольку они выглядят как стандартные исполняемые файлы. Затем они могут распространяться или выполняться на машинах жертв для выполнения таких задач, как запуск вредоносного ПО или проведение разведки.

AutoIT

AutoIT - это еще один язык сценариев, предназначенный для автоматизации графического интерфейса Windows. Хотя по функциональности он похож на AutoHotKey, его часто используют для создания более сложных сценариев, таких как управление системой и создание пакетов автоматической установки. Как и AutoHotKey, сценарии AutoIT могут быть скомпилированы в отдельные исполняемые файлы, которые злоумышленники могут использовать для:

  • Автоматизации процессов внутри вредоносного ПО.
  • Установки бэкдоров, в том числе путем взаимодействия с системным реестром Windows или пользовательским окружением.
  • Загрузка и выполнение дополнительной полезной нагрузки.

AutoIT может использоваться злоумышленниками для выполнения широкого спектра действий, таких как выполнение файлов, управление пользовательскими системами и запуск других вредоносных программ, что делает его мощным инструментом для злоумышленников, когда они хотят остаться незамеченными или выполнять автоматизированные задачи с минимальным взаимодействием.

Например, в марте 2024 года исследователи заметили изменения в кампании вредоносного ПО DarkGate, перешедшего с AutoIT на скрипты AutoHotKey для повышения скрытности и автоматизации.

Вот как AutoIt-скрипты использовались в этой кампании:

Злоумышленники упаковали полезную нагрузку DarkGate в поддельный установщик MSI, включающий пользовательский DLL-файл и компоненты AutoIt. После выполнения скрипт AutoIt расшифровывал полезную нагрузку вредоносного ПО и загружал ее в память. Этот скрипт, встроенный в MSI-файл, отвечал за выполнение нескольких этапов цепочки доставки вредоносного ПО, обеспечивая скрытность и труднодоступность полезной нагрузки.

Загрузчик AutoIt извлекал несколько файлов, включая основной скрипт AutoIt, и выполнял их для расшифровки и загрузки следующего этапа вредоносной программы. Он использовал закодированные данные из внешнего источника (test.txt) и обрабатывал их для создания вредоносных команд и дальнейшей полезной нагрузки. Скрипт динамически выделял память и изменял разрешения на выполнение, чтобы облегчить загрузку и выполнение DarkGate RAT в памяти без обращения к диску, эффективно обходя традиционные меры безопасности.

Используя AutoIt, злоумышленники смогли автоматизировать сложные процессы, необходимые для расшифровки и выполнения вредоносного ПО, избежав при этом обнаружения, что демонстрирует приспособленность языка сценариев для вредоносных целей. Эта кампания демонстрирует неправомерное использование легитимных средств автоматизации, таких как AutoIt, в сложных кибератаках.

Комментарии: 0