AutoPwnKeyは、AutoHotKeyを利用して人間のインタラクションを模倣することでペイロードを実行する攻撃的セキュリティフレームワークです。これは、疑わしいAPI呼び出しを避け、ユーザーがシミュレートされた入力駆動の方法でタスクを実行することにより、従来のアンチウイルスやEDRシステムを回避するように設計されています。
この手法は、防御ツールが古典的なペイロード配信と実行チェーンを検出する能力が向上するにつれて、ますます重要性を増しています。
概要
AutoPwnKeyは信頼されたユーザー環境をシミュレートすることで動作します。コードを注入したり、脆弱性を直接利用したりはしません。代わりに、キーボードやマウスの入力を行い、正当なグラフィカルユーザーインターフェース(GUI)インタラクションを通じてペイロードを実行します。このアプローチは、行動やヒューリスティックに基づく検出方法を回避するのに役立ちます。
一般的な使用例には以下が含まれます:
- ポストエクスプロイトペイロードの実行
- 強化された環境でのAV/EDR回避
- 従来のバイナリをドロップせずに攻撃的なアクションを実行
このツールは、ペイロードのパッケージング、GUIスクリプトの作成、ランタイム難読化をサポートしています。
主な機能
- AutoHotKeyスクリプトを使用してユーザーアクションをシミュレート
- ほとんどの行動ベースのアンチウイルス検出を回避
- モジュラー型のペイロードランナーフレームワーク
- カスタマイズ可能なインタラクションチェーン(例:ターミナルを開く、コマンドを入力する、ウィンドウを閉じる)
- サンドボックス対応のシナリオでの実行をサポート
インストールと使用法
AutoPwnKeyを使用するには、ターゲットまたは実行環境にAutoHotKeyがインストールされている必要があります。
インストール
|
git clone https://github.com/CroodSolutions/AutoPwnKey.git cd AutoPwnKey |
検出と制限
AutoPwnKeyはメモリを悪用したり、標準的な注入技術を使用しないため、多くのリアルタイムAVスキャナーを回避します。しかし:
- GUIアクセスと画面の存在に依存します
- スクリプトベースの方法は、適切にスコープされていない場合、ユーザーアラートやUACプロンプトを引き起こす可能性があります
- Defender SmartScreenとAMSIは、ランタイムの動作に応じてコンパイルされた
.exeバージョンをフラグする可能性があります
緩和ガイダンス
ブルーチームは、以下の方法でAutoPwnKeyスタイルの攻撃を緩和できます:
- 異常なAutoHotKeyの使用を監視する
AppDataまたはTempからの署名されていない実行ファイルをブロックする- 信頼されていないバイナリからのスクリプト化されたGUIインタラクションを警告する
貢献方法
チームは、すべての参加が合法かつ倫理的である限り、貢献、参加、フィードバックを歓迎し、奨励します。新しいスクリプトを開発し、アイデアを提供し、既存のスクリプトを洗練してください。このプロジェクトの目標は、赤、青、紫のチームが評価目的で利用できる堅牢なテストフレームワークを開発することであり、検出ロジックの改善により、この攻撃ベクトルが無意味になることを願っています。
- プロジェクトをフォークする
- 機能ブランチを作成する (
git checkout -b feature/AmazingFeature) - 変更をコミットする (
git commit -m 'Add some AmazingFeature') - ブランチにプッシュする (
git push origin feature/AmazingFeature) - プルリクエストを開く
詳細を読むか、AutoPwnKeyをダウンロードするにはこちら: https://github.com/CroodSolutions/AutoPwnKey
読者のインタラクション
翻訳元: https://www.darknet.org.uk/2025/06/autopwnkey-av-evasion-via-simulated-user-interaction/