T1059.010: AutoHotKey и AutoIT

Злоумышленники могут выполнять команды и осуществлять вредоносные действия, используя сценарии автоматизации AutoIT и AutoHotKey. AutoIT и AutoHotkey (AHK) — это сценарные языки, позволяющие пользователям автоматизировать задачи Windows. Эти сценарии автоматизации могут использоваться для осуществления множества действий, таких как нажатие кнопок, ввод текста и открытие или закрытие программ.

Злоумышленники могут использовать сценарии AHK (.ahk) и AutoIT (.au3) для выполнения вредоносного кода в зараженной системе. Например, злоумышленники использовали AHK для выполнения полезных нагрузок и других модульных зловредов, таких как кейлоггеры. Злоумышленники также использовали специально созданные файлы AHK, содержавшие встроенное вредоносное ПО, в качестве полезных нагрузок при фишинге.

Эти сценарии также могут быть скомпилированы в автономные исполняемые полезные нагрузки (.exe).

Какие продукты Positive Technologies покрывают технику

Как детектировать

При помощи пользовательских правил PT AF может обнаруживать команды, написанные на скриптовых языках AutoIt и AutoHotkey, в HTTP-запросах.

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд на предмет аномального использования утилит и аргументов командной строки, чтобы выявить выполнение вредоносного кода. Сопоставляйте недавние вызовы AutoIt3.exe и AutoHotkey.exe с историей использования известных допустимых аргументов, чтобы выявить аномальную и потенциально вредоносную активность (например, обфусцированные и (или) вредоносные команды).

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте и анализируйте выполнение интерпретаторов AutoIt3.exe и AutoHotkey.exe и использованные аргументы. На подозрительные или вредоносные действия могут также указывать нестандартные деревья выполнения процессов, например случаи, когда AutoHotkey.exe порождает дополнительные подозрительные процессы и действия.

Меры противодействия

IDM1038НазваниеЗащита от выполненияОписание

Используйте контроль приложений для предотвращения выполнения AutoIt3.exe, AutoHotkey.exe и других связанных с ними функций, которые могут быть не нужны для данной системы или сети, чтобы предотвратить потенциальное использование злоумышленниками.