Техника на mitre.org

T1059.010: AutoHotKey и AutoIT

Злоумышленники могут выполнять команды и осуществлять вредоносные действия, используя сценарии автоматизации AutoIT и AutoHotKey. AutoIT и AutoHotkey (AHK) — это сценарные языки, позволяющие пользователям автоматизировать задачи Windows. Эти сценарии автоматизации могут использоваться для осуществления множества действий, таких как нажатие кнопок, ввод текста и открытие или закрытие программ.

Злоумышленники могут использовать сценарии AHK (.ahk) и AutoIT (.au3) для выполнения вредоносного кода в зараженной системе. Например, злоумышленники использовали AHK для выполнения полезных нагрузок и других модульных зловредов, таких как кейлоггеры. Злоумышленники также использовали специально созданные файлы AHK, содержавшие встроенное вредоносное ПО, в качестве полезных нагрузок при фишинге.

Эти сценарии также могут быть скомпилированы в автономные исполняемые полезные нагрузки (.exe).

Какие продукты Positive Technologies покрывают технику

Как детектировать

При помощи пользовательских правил PT AF может обнаруживать команды, написанные на скриптовых языках AutoIt и AutoHotkey, в HTTP-запросах.

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд на предмет аномального использования утилит и аргументов командной строки, чтобы выявить выполнение вредоносного кода. Сопоставляйте недавние вызовы `AutoIt3.exe` и `AutoHotkey.exe` с историей использования известных допустимых аргументов, чтобы выявить аномальную и потенциально вредоносную активность (например, обфусцированные и (или) вредоносные команды).

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте и анализируйте выполнение интерпретаторов `AutoIt3.exe` и `AutoHotkey.exe` и использованные аргументы. На подозрительные или вредоносные действия могут также указывать нестандартные деревья выполнения процессов, например случаи, когда `AutoHotkey.exe` порождает дополнительные подозрительные процессы и действия.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд на предмет аномального использования утилит и аргументов командной строки, чтобы выявить выполнение вредоносного кода. Сопоставляйте недавние вызовы `AutoIt3.exe` и `AutoHotkey.exe` с историей использования известных допустимых аргументов, чтобы выявить аномальную и потенциально вредоносную активность (например, обфусцированные и (или) вредоносные команды).
DS0009	Процесс: Создание процесса	Отслеживайте и анализируйте выполнение интерпретаторов `AutoIt3.exe` и `AutoHotkey.exe` и использованные аргументы. На подозрительные или вредоносные действия могут также указывать нестандартные деревья выполнения процессов, например случаи, когда `AutoHotkey.exe` порождает дополнительные подозрительные процессы и действия.

Меры противодействия

ID	M1038	Название	Защита от выполнения	Описание	Используйте контроль приложений для предотвращения выполнения `AutoIt3.exe`, `AutoHotkey.exe` и других связанных с ними функций, которые могут быть не нужны для данной системы или сети, чтобы предотвратить потенциальное использование злоумышленниками.

ID	Название	Описание
M1038	Защита от выполнения	Используйте контроль приложений для предотвращения выполнения `AutoIt3.exe`, `AutoHotkey.exe` и других связанных с ними функций, которые могут быть не нужны для данной системы или сети, чтобы предотвратить потенциальное использование злоумышленниками.