T1053: ПЛАНУВАЛЬНИК ЗАДАЧ
Зловмисники зловживають функціональністю планування завдань для первинного або регулярного виконання шкідливого коду. Утиліти для планування існують у всіх основних ОС (Task Scheduler у Windows, cron у Linux). Завдання можуть бути налаштовані на локальних або віддалених системах (через RPC), що дозволяє запускати процеси під час завантаження системи, у визначений час або в контексті облікового запису з високими привілеями.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть зловживати функціональністю планування завдань для полегшення початкового або повторюваного виконання шкідливого коду. У всіх основних операційних системах існують утиліти для планування програм або сценаріїв, які мають бути виконані у визначену дату та час. Завдання також можна запланувати на віддаленій системі за умови належної автентифікації (наприклад, RPC, спільний доступ до файлів і принтерів у середовищах Windows). Планування завдання на віддаленій системі зазвичай вимагає членства в групі адміністраторів або іншій привілейованій групі.
Зловмисники можуть використовувати планування завдань для виконання програм під час запуску системи або на регулярній основі для забезпечення стійкості (Persistence). Цими механізмами також можна зловживати для запуску процесу в контексті певного облікового запису (наприклад, із підвищеними дозволами/привілеями). Подібно до System Binary Proxy Execution, зловмисники також використовували планування завдань, щоб потенційно маскувати одноразове виконання під виглядом довіреного системного процесу.
Чому це ефективно?
- Автоматизація: Шкідливий код запускається сам, без участі користувача.
- Підвищення привілеїв: Завдання, створене адміністратором, може виконуватися від імені системи (SYSTEM або root), даючи зловмиснику повний контроль.
- Скритність: Багато системних завдань працюють у фоні, тому нове “замасковане” завдання легко загубиться серед сотень легітимних записів.