スケジュールド タスクによる持続化.

攻撃者が Windows のスケジュールド タスクを作成または改変し、ログオンや起動、タイマーなどのトリガーでペイロードを実行させる持続化および実行手法。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。

攻撃者が Windows のスケジュールド タスクを作成または改変し、ログオンや起動、タイマーなどのトリガーでペイロードを実行させる持続化および実行手法。

スケジュールド タスクによる持続化(MITRE ATT&CK T1053.005)は、Windows のタスク スケジューラを悪用します。攻撃者は schtasks.exe、ITaskService COM インターフェイス、または %SystemRoot%\System32\Tasks に XML を直接配置することでタスクを登録し、起動時、ログオン時、アイドル時、カレンダーやイベントで実行させます。SYSTEM、NETWORK SERVICE、特権サービス アカウントで動作するタスクは持続化と権限の両方をもたらします。新しい亜種は SD 値の削除や空のプリンシパルでの登録によりタスクを隠蔽するため、GUI を超えた検出が必要です。対策はセキュリティ イベント 4698/4702、Sysmon イベント 1 による schtasks.exe 監視、タスクのベースライン化、タスク作成権の制限です。

スケジュールド タスクによる持続化 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: schtasks 持続化, タスク スケジューラ悪用。