Persistencia por tarea programada
¿Qué es Persistencia por tarea programada?
Persistencia por tarea programadaTécnica de persistencia y ejecución en la que el atacante crea o modifica una tarea programada de Windows para ejecutar su payload por inicio de sesión, arranque o temporizador.
La persistencia por tarea programada (MITRE ATT&CK T1053.005) abusa del Programador de Tareas de Windows. Los atacantes usan schtasks.exe, la interfaz COM ITaskService o el depósito directo de XML en %SystemRoot%\System32\Tasks para registrar tareas que se ejecutan al arrancar, al iniciar sesión, en inactividad, por calendario o por eventos. Tareas bajo SYSTEM, NETWORK SERVICE o cuentas de servicio privilegiadas aportan persistencia y privilegios. Variantes modernas ocultan tareas borrando el valor SD o registrándolas con principales vacíos, exigiendo detección más allá de la GUI. Defensas: monitorizar eventos de seguridad 4698 y 4702, Sysmon 1 para schtasks.exe, baseline de tareas esperadas y restringir el derecho Crear tarea.
● Ejemplos
- 01
Tarea horaria llamada "GoogleUpdaterTaskUser" que ejecuta un binario sin firmar en %APPDATA%.
- 02
Tarea con disparador de inicio de sesión que lanza un loader PowerShell bajo SYSTEM.
● Preguntas frecuentes
¿Qué es Persistencia por tarea programada?
Técnica de persistencia y ejecución en la que el atacante crea o modifica una tarea programada de Windows para ejecutar su payload por inicio de sesión, arranque o temporizador. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Persistencia por tarea programada?
Técnica de persistencia y ejecución en la que el atacante crea o modifica una tarea programada de Windows para ejecutar su payload por inicio de sesión, arranque o temporizador.
¿Cómo defenderse de Persistencia por tarea programada?
Las defensas contra Persistencia por tarea programada combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Persistencia por tarea programada?
Nombres alternativos comunes: Persistencia schtasks, Abuso del Programador de tareas.