Persistencia por tarea programada
¿Qué es Persistencia por tarea programada?
Persistencia por tarea programadaTécnica de persistencia y ejecución en la que el atacante crea o modifica una tarea programada de Windows para ejecutar su payload por inicio de sesión, arranque o temporizador.
La persistencia por tarea programada (MITRE ATT&CK T1053.005) abusa del Programador de Tareas de Windows. Los atacantes usan schtasks.exe, la interfaz COM ITaskService o el depósito directo de XML en %SystemRoot%\System32\Tasks para registrar tareas que se ejecutan al arrancar, al iniciar sesión, en inactividad, por calendario o por eventos. Tareas bajo SYSTEM, NETWORK SERVICE o cuentas de servicio privilegiadas aportan persistencia y privilegios. Variantes modernas ocultan tareas borrando el valor SD o registrándolas con principales vacíos, exigiendo detección más allá de la GUI. Defensas: monitorizar eventos de seguridad 4698 y 4702, Sysmon 1 para schtasks.exe, baseline de tareas esperadas y restringir el derecho Crear tarea.
● Ejemplos
- 01
Tarea horaria llamada "GoogleUpdaterTaskUser" que ejecuta un binario sin firmar en %APPDATA%.
- 02
Tarea con disparador de inicio de sesión que lanza un loader PowerShell bajo SYSTEM.
● Preguntas frecuentes
¿Qué es Persistencia por tarea programada?
Técnica de persistencia y ejecución en la que el atacante crea o modifica una tarea programada de Windows para ejecutar su payload por inicio de sesión, arranque o temporizador. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Persistencia por tarea programada?
Técnica de persistencia y ejecución en la que el atacante crea o modifica una tarea programada de Windows para ejecutar su payload por inicio de sesión, arranque o temporizador.
¿Cómo funciona Persistencia por tarea programada?
La persistencia por tarea programada (MITRE ATT&CK T1053.005) abusa del Programador de Tareas de Windows. Los atacantes usan schtasks.exe, la interfaz COM ITaskService o el depósito directo de XML en %SystemRoot%\System32\Tasks para registrar tareas que se ejecutan al arrancar, al iniciar sesión, en inactividad, por calendario o por eventos. Tareas bajo SYSTEM, NETWORK SERVICE o cuentas de servicio privilegiadas aportan persistencia y privilegios. Variantes modernas ocultan tareas borrando el valor SD o registrándolas con principales vacíos, exigiendo detección más allá de la GUI. Defensas: monitorizar eventos de seguridad 4698 y 4702, Sysmon 1 para schtasks.exe, baseline de tareas esperadas y restringir el derecho Crear tarea.
¿Cómo defenderse de Persistencia por tarea programada?
Las defensas contra Persistencia por tarea programada combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Persistencia por tarea programada?
Nombres alternativos comunes: Persistencia schtasks, Abuso del Programador de tareas.
● Términos relacionados
- attacks№ 1246
Persistencia por suscripción a eventos WMI
Técnica de persistencia que registra un filtro y un consumidor permanentes de eventos WMI para que el código del atacante se ejecute cuando ocurra un evento del sistema.
- attacks№ 914
Persistencia por clave Run del registro
Técnica clásica de persistencia en Windows que añade una entrada en una clave Run o RunOnce del registro para ejecutar un binario o script cada vez que el usuario inicia sesión.
- attacks№ 200
Secuestro COM
Técnica de persistencia que redirige la búsqueda de un CLSID del Component Object Model de Windows hacia código del atacante, ejecutándolo cuando un proceso instancia ese objeto.
- attacks№ 515
Inyección IFEO
Técnica de persistencia y escalada de privilegios que abusa de la clave Image File Execution Options del registro de Windows para ejecutar código cuando se inicia un ejecutable objetivo.
- attacks№ 238
Persistencia mediante cron
Técnica de persistencia en Linux y Unix que utiliza cron, anacron o temporizadores de systemd para reejecutar código del atacante en un intervalo o evento del sistema.
- attacks№ 608
Persistencia mediante launchd
Técnica de persistencia en macOS que instala un plist de LaunchDaemon o LaunchAgent para que launchd ejecute el código del atacante al arrancar, iniciar sesión o ante un disparador.