https://upforme.ru/uploads/001c/82/4c/2/t441091.jpg

AutoPwnKey é uma estrutura de segurança ofensiva que utiliza o AutoHotKey para executar payloads imitando a interação humana. Ele foi projetado para contornar sistemas antivírus e EDR tradicionais, evitando chamadas de API suspeitas e executando tarefas de forma simulada pelo usuário e orientada por entrada.

AutoPwnKey – Evasão AV por meio de interação simulada do usuário
23 de junho de 2025

Visualizações: 490
AutoPwnKey é uma estrutura de segurança ofensiva que utiliza o AutoHotKey para executar payloads imitando a interação humana. Ele foi projetado para contornar sistemas antivírus e EDR tradicionais, evitando chamadas de API suspeitas e executando tarefas de forma simulada pelo usuário e orientada por entrada.

AutoPwnKey - Evasão AV por meio de interação simulada do usuário
Essa técnica é cada vez mais relevante à medida que as ferramentas defensivas se tornam mais eficazes na detecção de cadeias clássicas de entrega e execução de carga útil.

Visão geral
O AutoPwnKey opera simulando um ambiente de usuário confiável. Ele não injeta código nem explora vulnerabilidades diretamente. Em vez disso, ele executa comandos de teclado e mouse que acionam a execução do payload por meio de interações legítimas da interface gráfica do usuário (GUI). Essa abordagem ajuda a contornar métodos de detecção baseados em comportamento e heurística.

Casos de uso comuns incluem:

Execução de carga útil pós-exploração
Evasão AV/EDR em ambientes endurecidos
Executar ações ofensivas sem abandonar binários tradicionais
A ferramenta oferece suporte a empacotamento de payload, escrita de scripts de GUI e ofuscação de tempo de execução.

Principais características
Usa script AutoHotKey para simular ações do usuário
Ignora a maioria das detecções comportamentais de antivírus
Estrutura modular do executor de carga útil
Cadeias de interação personalizáveis ​​(por exemplo, abrir terminal, digitar comando, fechar janela)
Suporta execução em cenários com reconhecimento de sandbox
Instalação e uso
O AutoPwnKey requer que o AutoHotKey seja instalado no ambiente de destino ou de execução.

Detecção e Limitações
Como o AutoPwnKey não explora memória nem utiliza técnicas de injeção padrão, ele ignora muitos scanners antivírus em tempo real. No entanto:

Ele depende do acesso à GUI e da presença na tela
Métodos baseados em script podem disparar alertas de usuário ou prompts do UAC se o escopo for definido incorretamente
O Defender SmartScreen e o AMSI podem sinalizar versões compiladas .exedependendo do comportamento do tempo de execução
Orientação de Mitigação
As equipes azuis podem mitigar ataques do tipo AutoPwnKey por meio de:

Monitoramento de uso incomum do AutoHotKey
Bloqueando executáveis ​​não assinados de AppDataouTemp
Alerta sobre interações de GUI com script de binários não confiáveis
Como contribuir
A equipe acolhe e incentiva contribuições, participação e feedback, desde que toda a participação seja legal e ética. Por favor, desenvolvam novos scripts, contribuam com ideias e refinem os scripts existentes que criamos. O objetivo deste projeto é desenvolver uma estrutura de testes robusta, disponível para as equipes vermelha, azul e roxa para fins de avaliação, com a esperança de que um dia possamos atingir esse objetivo, já que melhorias na lógica de detecção tornarão esse vetor de ataque irrelevante.

Bifurcar o projeto
Crie seu branch de recurso ( git checkout -b feature/AmazingFeature)
Confirme suas alterações ( git commit -m 'Add some AmazingFeature')
Empurre para o ramo ( git push origin feature/AmazingFeature)
Abra uma solicitação de pull
Você pode ler mais ou baixar o AutoPwnKey aqui: https://github.com/CroodSolutions/AutoPwnKey