计划任务持久化
计划任务持久化 是什么?
计划任务持久化一种持久化与执行手法,攻击者创建或修改 Windows 计划任务,使载荷在登录、开机或定时等触发条件下运行。
计划任务持久化(MITRE ATT&CK T1053.005)滥用 Windows 任务计划程序。攻击者通过 schtasks.exe、ITaskService COM 接口,或直接向 %SystemRoot%\System32\Tasks 投递 XML 来注册任务,使其在开机、登录、用户空闲、按日历或基于事件时运行。在 SYSTEM、NETWORK SERVICE 或特权服务账户下运行的任务可同时提供持久化和提权。新变种通过删除 SD 值或使用空主体注册来隐藏任务,需要超越 GUI 的检测手段。防御措施:监控安全事件 4698(任务创建)和 4702(任务更新)、Sysmon 事件 1 中的 schtasks.exe 启动、为预期任务建立基线,并限制创建任务的用户权限。
● 示例
- 01
每小时执行一次、命名为 "GoogleUpdaterTaskUser" 的任务,运行位于 %APPDATA% 的未签名二进制。
- 02
登录触发的任务,以 SYSTEM 权限执行 PowerShell 加载器。
● 常见问题
计划任务持久化 是什么?
一种持久化与执行手法,攻击者创建或修改 Windows 计划任务,使载荷在登录、开机或定时等触发条件下运行。 它属于网络安全的 攻击与威胁 分类。
计划任务持久化 是什么意思?
一种持久化与执行手法,攻击者创建或修改 Windows 计划任务,使载荷在登录、开机或定时等触发条件下运行。
计划任务持久化 是如何工作的?
计划任务持久化(MITRE ATT&CK T1053.005)滥用 Windows 任务计划程序。攻击者通过 schtasks.exe、ITaskService COM 接口,或直接向 %SystemRoot%\System32\Tasks 投递 XML 来注册任务,使其在开机、登录、用户空闲、按日历或基于事件时运行。在 SYSTEM、NETWORK SERVICE 或特权服务账户下运行的任务可同时提供持久化和提权。新变种通过删除 SD 值或使用空主体注册来隐藏任务,需要超越 GUI 的检测手段。防御措施:监控安全事件 4698(任务创建)和 4702(任务更新)、Sysmon 事件 1 中的 schtasks.exe 启动、为预期任务建立基线,并限制创建任务的用户权限。
如何防御 计划任务持久化?
针对 计划任务持久化 的防御通常结合技术控制与运营实践,详见上方完整定义。
计划任务持久化 还有哪些其他名称?
常见的别称包括: schtasks 持久化, 任务计划程序滥用。
● 相关术语
- attacks№ 1246
WMI 事件订阅持久化
一种持久化手法,注册永久 WMI 事件过滤器和消费者,使攻击者代码在指定系统事件发生时被触发。
- attacks№ 914
注册表 Run 键持久化
经典 Windows 持久化技术,在 Run 或 RunOnce 注册表项中添加条目,使二进制或脚本在每次用户登录时执行。
- attacks№ 200
COM 劫持
一种持久化技术,将 Windows 组件对象模型的 CLSID 查找重定向到攻击者代码,只要宿主进程实例化该对象就会执行。
- attacks№ 515
IFEO 注入
一种利用 Windows 注册表 Image File Execution Options 项的持久化与提权技术,只要目标可执行文件启动就会触发攻击者代码。
- attacks№ 238
cron 持久化
Linux 与 Unix 中的持久化技术,利用 cron、anacron 或 systemd 定时器按时间或事件重新执行攻击者代码。
- attacks№ 608
launchd 持久化
macOS 持久化技术,通过安装 LaunchDaemon 或 LaunchAgent 的 plist 文件,让 launchd 在开机、登录或触发时执行攻击者代码。