# AN0942 — Analytic 0942 ## Descrição Detecta a execução de interpretadores AutoHotKey ou AutoIT, ou scripts compilados dessas ferramentas, utilizados para automação não autorizada, execução de comandos ou entrega de payloads. A telemetria inclui eventos de criação de processos, análise de linhagem de processo (parent-child), argumentos de linha de comando e eventos de criação de scripts no sistema de arquivos. Essas ferramentas de automação legítimas são frequentemente abusadas por atacantes para execução de código discreto, dificultando a detecção por soluções baseadas em assinatura. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0942](https://attack.mitre.org/detectionstrategies/DET0332#AN0942)*