T1059.010

AutoHotKey و AutoIT

AutoHotKey & AutoIT

توضیحات

مهاجمان از ابزارهای اتوماسیون مانند AutoHotKey و AutoIT برای اجرای کد مخرب استفاده می‌کنند. این ابزارها برای اتوماسیون وظایف ویندوز طراحی شده‌اند اما می‌توانند برای اجرای دستورات مخرب، keylogging و دور زدن کنترل‌های امنیتی استفاده شوند.

روش‌های شناسایی

نظارت بر اجرای AutoHotKey و AutoIT. شناسایی اسکریپت‌های مشکوک این ابزارها. بررسی رفتار فرآیندهای ایجاد شده. تحلیل فعالیت‌های keylogging.

روش‌های مقابله

محدود کردن نصب و اجرای AutoHotKey و AutoIT. پیاده‌سازی Application Whitelisting. نظارت بر فعالیت‌های این ابزارها. استفاده از EDR. آموزش کاربران.

تکنیک اصلی

T1059Command and Scripting Interpreter

مفسر دستور و اسکریپت

مهاجمان از مفسرهای دستور و اسکریپت برای اجرای دستورات، اسکریپت‌ها یا باینری‌ها سوءاستفاده می‌کنند. این رابط‌ها و زبان‌ها در اکثر سیستم‌ها به صورت پیش‌فرض وجود دارند. مهاجمان می‌توانند از این ابزارها برای اجرای کد مخرب، دور زدن کنترل‌های امنیتی و ایجاد پایداری استفاده کنند.

سایر زیرتکنیک‌ها (9)

T1059.001 · PowerShell T1059.002 · AppleScript T1059.003 · پوسته فرمان ویندوز T1059.004 · پوسته یونیکس T1059.005 · ویژوال بیسیک T1059.006 · پایتون T1059.007 · جاوااسکریپت T1059.008 · رابط خط فرمان دستگاه شبکه T1059.009 · API ابری