Persistência por tarefa agendada
O que é Persistência por tarefa agendada?
Persistência por tarefa agendadaTécnica de persistência e execução em que o atacante cria ou altera uma tarefa agendada do Windows para executar o seu payload com base num gatilho (logon, arranque, temporizador).
A persistência por tarefa agendada (MITRE ATT&CK T1053.005) abusa do Agendador de Tarefas do Windows. Os atacantes usam schtasks.exe, a interface COM ITaskService ou colocam ficheiros XML em %SystemRoot%\System32\Tasks para registar tarefas que correm no arranque, no logon, em inatividade, por calendário ou por eventos. Tarefas a executar como SYSTEM, NETWORK SERVICE ou contas de serviço privilegiadas oferecem persistência e privilégios. Variantes recentes escondem tarefas apagando o valor SD ou registando-as com principais vazios, exigindo deteção além da GUI. Defesas: monitorizar eventos 4698/4702, Sysmon 1 para schtasks.exe, baseline de tarefas e restringir o direito de criar tarefas.
● Exemplos
- 01
Tarefa horária chamada "GoogleUpdaterTaskUser" que executa um binário não assinado em %APPDATA%.
- 02
Tarefa com gatilho de logon a executar um loader PowerShell como SYSTEM.
● Perguntas frequentes
O que é Persistência por tarefa agendada?
Técnica de persistência e execução em que o atacante cria ou altera uma tarefa agendada do Windows para executar o seu payload com base num gatilho (logon, arranque, temporizador). Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Persistência por tarefa agendada?
Técnica de persistência e execução em que o atacante cria ou altera uma tarefa agendada do Windows para executar o seu payload com base num gatilho (logon, arranque, temporizador).
Como funciona Persistência por tarefa agendada?
A persistência por tarefa agendada (MITRE ATT&CK T1053.005) abusa do Agendador de Tarefas do Windows. Os atacantes usam schtasks.exe, a interface COM ITaskService ou colocam ficheiros XML em %SystemRoot%\System32\Tasks para registar tarefas que correm no arranque, no logon, em inatividade, por calendário ou por eventos. Tarefas a executar como SYSTEM, NETWORK SERVICE ou contas de serviço privilegiadas oferecem persistência e privilégios. Variantes recentes escondem tarefas apagando o valor SD ou registando-as com principais vazios, exigindo deteção além da GUI. Defesas: monitorizar eventos 4698/4702, Sysmon 1 para schtasks.exe, baseline de tarefas e restringir o direito de criar tarefas.
Como se defender contra Persistência por tarefa agendada?
As defesas contra Persistência por tarefa agendada costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Persistência por tarefa agendada?
Nomes alternativos comuns: Persistência schtasks, Abuso do Agendador de Tarefas.
● Termos relacionados
- attacks№ 1246
Persistência por subscrição de eventos WMI
Técnica de persistência que regista um filtro e um consumidor permanentes de eventos WMI para executar código do atacante quando ocorre um evento do sistema escolhido.
- attacks№ 914
Persistência por chave Run do registo
Técnica clássica de persistência do Windows que adiciona uma entrada numa chave Run ou RunOnce do registo para executar um binário ou script sempre que o utilizador inicia sessão.
- attacks№ 200
Sequestro COM
Técnica de persistência que redireciona a resolução de um CLSID do Component Object Model do Windows para código do atacante, executado sempre que o objeto é instanciado.
- attacks№ 515
Injeção IFEO
Técnica de persistência e elevação de privilégios que abusa da chave de registo Image File Execution Options do Windows para executar código quando um executável-alvo é iniciado.
- attacks№ 238
Persistência via cron
Técnica de persistência em Linux e Unix que utiliza cron, anacron ou temporizadores do systemd para reexecutar código do atacante num intervalo ou evento do sistema escolhido.
- attacks№ 608
Persistência via launchd
Técnica de persistência no macOS que instala um plist de LaunchDaemon ou LaunchAgent para que o launchd execute código do atacante no arranque, no login ou num gatilho.