Закрепление через запланированные задания
Что такое Закрепление через запланированные задания?
Закрепление через запланированные заданияТехника закрепления и исполнения, при которой злоумышленник создаёт или изменяет запланированное задание Windows для запуска пейлоада по триггеру (вход, загрузка, таймер).
Закрепление через запланированные задания (MITRE ATT&CK T1053.005) использует планировщик Windows. Злоумышленники применяют schtasks.exe, COM-интерфейс ITaskService либо размещают XML напрямую в %SystemRoot%\System32\Tasks для регистрации заданий, исполняющихся при загрузке, входе, простое, по расписанию или событиям. Задания, выполняющиеся под SYSTEM, NETWORK SERVICE или привилегированной учёткой службы, обеспечивают и закрепление, и привилегии. Современные варианты прячут задания, удаляя значение SD или регистрируя их с пустыми принципалами, что требует обнаружения вне GUI. Защита: события безопасности 4698/4702, Sysmon Event 1 для schtasks.exe, базовая инвентаризация заданий, ограничение права создания заданий.
● Примеры
- 01
Ежечасное задание "GoogleUpdaterTaskUser", запускающее неподписанный бинарник из %APPDATA%.
- 02
Задание с триггером входа, исполняющее PowerShell-загрузчик под SYSTEM.
● Частые вопросы
Что такое Закрепление через запланированные задания?
Техника закрепления и исполнения, при которой злоумышленник создаёт или изменяет запланированное задание Windows для запуска пейлоада по триггеру (вход, загрузка, таймер). Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Закрепление через запланированные задания?
Техника закрепления и исполнения, при которой злоумышленник создаёт или изменяет запланированное задание Windows для запуска пейлоада по триггеру (вход, загрузка, таймер).
Как работает Закрепление через запланированные задания?
Закрепление через запланированные задания (MITRE ATT&CK T1053.005) использует планировщик Windows. Злоумышленники применяют schtasks.exe, COM-интерфейс ITaskService либо размещают XML напрямую в %SystemRoot%\System32\Tasks для регистрации заданий, исполняющихся при загрузке, входе, простое, по расписанию или событиям. Задания, выполняющиеся под SYSTEM, NETWORK SERVICE или привилегированной учёткой службы, обеспечивают и закрепление, и привилегии. Современные варианты прячут задания, удаляя значение SD или регистрируя их с пустыми принципалами, что требует обнаружения вне GUI. Защита: события безопасности 4698/4702, Sysmon Event 1 для schtasks.exe, базовая инвентаризация заданий, ограничение права создания заданий.
Как защититься от Закрепление через запланированные задания?
Защита от Закрепление через запланированные задания обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Закрепление через запланированные задания?
Распространённые альтернативные названия: Закрепление через schtasks, Злоупотребление планировщиком задач.
● Связанные термины
- attacks№ 1246
Закрепление через подписку WMI
Техника закрепления, регистрирующая постоянный WMI-фильтр и потребитель события, чтобы код злоумышленника запускался при выбранном системном событии.
- attacks№ 914
Закрепление через раздел Run реестра
Классическая техника закрепления в Windows, добавляющая запись в раздел реестра Run или RunOnce для запуска бинарника или скрипта при каждом входе пользователя.
- attacks№ 200
Перехват COM
Техника закрепления, перенаправляющая разрешение CLSID Windows Component Object Model на код злоумышленника, который выполняется при каждой инстанциации объекта.
- attacks№ 515
Внедрение через IFEO
Техника закрепления и повышения привилегий, использующая раздел реестра Image File Execution Options для запуска кода злоумышленника при старте целевого исполняемого файла.
- attacks№ 238
Закрепление через cron
Техника закрепления в Linux/Unix, использующая cron, anacron или таймеры systemd для повторного запуска кода злоумышленника по расписанию или системному событию.
- attacks№ 608
Закрепление через launchd
Техника закрепления в macOS, размещающая plist LaunchDaemon или LaunchAgent, чтобы launchd запускал код злоумышленника при загрузке, входе или триггере.