Geplante-Aufgaben-Persistenz
Was ist Geplante-Aufgaben-Persistenz?
Geplante-Aufgaben-PersistenzPersistenz- und Ausführungstechnik, bei der ein Angreifer eine Windows-Aufgabenplanungs-Aufgabe anlegt oder ändert, um sein Payload bei Logon, Boot oder Timer auszuführen.
Persistenz über geplante Aufgaben (MITRE ATT&CK T1053.005) missbraucht den Windows-Taskplaner. Angreifer nutzen schtasks.exe, die ITaskService-COM-Schnittstelle oder legen XML-Dateien direkt unter %SystemRoot%\System32\Tasks ab, um Aufgaben zu registrieren, die bei Boot, Logon, Leerlauf, nach Kalender oder Ereignis ausgeführt werden. Aufgaben unter SYSTEM, NETWORK SERVICE oder privilegierten Servicekonten liefern Persistenz und Rechte. Moderne Varianten verstecken Aufgaben durch Löschen des SD-Werts oder leere Principals und entziehen sich der GUI-Sicht. Abwehr: Security-Events 4698/4702 überwachen, Sysmon-Event 1 für schtasks.exe, Aufgaben-Baseline, Recht Aufgabe erstellen beschränken.
● Beispiele
- 01
Stündliche Aufgabe "GoogleUpdaterTaskUser", die ein unsigniertes Binary in %APPDATA% ausführt.
- 02
Aufgabe mit Logon-Trigger, die einen PowerShell-Loader unter SYSTEM startet.
● Häufige Fragen
Was ist Geplante-Aufgaben-Persistenz?
Persistenz- und Ausführungstechnik, bei der ein Angreifer eine Windows-Aufgabenplanungs-Aufgabe anlegt oder ändert, um sein Payload bei Logon, Boot oder Timer auszuführen. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Geplante-Aufgaben-Persistenz?
Persistenz- und Ausführungstechnik, bei der ein Angreifer eine Windows-Aufgabenplanungs-Aufgabe anlegt oder ändert, um sein Payload bei Logon, Boot oder Timer auszuführen.
Wie funktioniert Geplante-Aufgaben-Persistenz?
Persistenz über geplante Aufgaben (MITRE ATT&CK T1053.005) missbraucht den Windows-Taskplaner. Angreifer nutzen schtasks.exe, die ITaskService-COM-Schnittstelle oder legen XML-Dateien direkt unter %SystemRoot%\System32\Tasks ab, um Aufgaben zu registrieren, die bei Boot, Logon, Leerlauf, nach Kalender oder Ereignis ausgeführt werden. Aufgaben unter SYSTEM, NETWORK SERVICE oder privilegierten Servicekonten liefern Persistenz und Rechte. Moderne Varianten verstecken Aufgaben durch Löschen des SD-Werts oder leere Principals und entziehen sich der GUI-Sicht. Abwehr: Security-Events 4698/4702 überwachen, Sysmon-Event 1 für schtasks.exe, Aufgaben-Baseline, Recht Aufgabe erstellen beschränken.
Wie schützt man sich gegen Geplante-Aufgaben-Persistenz?
Schutzmaßnahmen gegen Geplante-Aufgaben-Persistenz kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Geplante-Aufgaben-Persistenz?
Übliche alternative Bezeichnungen: schtasks-Persistenz, Missbrauch des Taskplaners.
● Verwandte Begriffe
- attacks№ 1246
WMI-Event-Subscription-Persistenz
Persistenztechnik, die einen permanenten WMI-Event-Filter und -Consumer registriert, sodass Angreifercode bei einem definierten Systemereignis ausgeführt wird.
- attacks№ 914
Run-Schlüssel-Persistenz
Klassische Windows-Persistenztechnik, die einen Eintrag unter einem Run- oder RunOnce-Registry-Schlüssel anlegt, damit ein Binary oder Skript bei jedem Logon ausgeführt wird.
- attacks№ 200
COM-Hijacking
Persistenztechnik, die die CLSID-Auflösung des Windows Component Object Model auf Angreifercode umleitet und diesen bei jeder Objektinstanziierung ausführt.
- attacks№ 515
IFEO-Injection
Persistenz- und Privilegieneskalationstechnik, die den Windows-Registry-Schlüssel Image File Execution Options missbraucht, um beim Start eines Ziel-Executables Angreifercode auszuführen.
- attacks№ 238
Cron-Persistenz
Linux- und Unix-Persistenztechnik, die cron, anacron oder systemd-Timer nutzt, um Angreifercode in einem gewählten Intervall oder bei einem Systemereignis erneut auszuführen.
- attacks№ 608
launchd-Persistenz
macOS-Persistenztechnik, die ein LaunchDaemon- oder LaunchAgent-Plist hinterlegt, damit launchd Angreifercode beim Boot, Login oder bei einem Trigger ausführt.