T1059.010: AutoHotKey и AutoIT
Злоумышленники могут выполнять команды и осуществлять вредоносные действия, используя сценарии автоматизации AutoIT и AutoHotKey. AutoIT и AutoHotkey (AHK) — это сценарные языки, позволяющие пользователям автоматизировать задачи Windows. Эти сценарии автоматизации могут использоваться для осуществления множества действий, таких как нажатие кнопок, ввод текста и открытие или закрытие программ.
Злоумышленники могут использовать сценарии AHK (.ahk
) и AutoIT (.au3
) для выполнения вредоносного кода в зараженной системе. Например, злоумышленники использовали AHK для выполнения полезных нагрузок и других модульных зловредов, таких как кейлоггеры. Злоумышленники также использовали специально созданные файлы AHK, содержавшие встроенное вредоносное ПО, в качестве полезных нагрузок при фишинге.
Эти сценарии также могут быть скомпилированы в автономные исполняемые полезные нагрузки (.exe
).
Какие продукты Positive Technologies покрывают технику
Как детектировать
При помощи пользовательских правил PT AF может обнаруживать команды, написанные на скриптовых языках AutoIt и AutoHotkey, в HTTP-запросах.
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд на предмет аномального использования утилит и аргументов командной строки, чтобы выявить выполнение вредоносного кода. Сопоставляйте недавние вызовы |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте и анализируйте выполнение интерпретаторов |
---|
Меры противодействия
ID | M1038 | Название | Защита от выполнения | Описание | Используйте контроль приложений для предотвращения выполнения |
---|