T1053: ЗАПЛАНОВАНЕ ЗАВДАННЯ
Зловмисники зловживають функціоналом планування завдань для початкового або повторюваного виконання шкідливого коду. Усі сучасні ОС мають утиліти для запуску програм у визначений час. Зловмисники створюють завдання, які запускають бекдор при кожному вході користувача, щогодини або при старті системи. Оскільки завдання можна налаштувати на запуск від імені адміністратора або системи (SYSTEM), техніка також використовується для підвищення привілеїв.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть зловживати функціоналом планування завдань для полегшення початкового або повторюваного виконання шкідливого коду. В усіх основних операційних системах існують утиліти для планування виконання програм або скриптів у вказану дату та час. Завдання також може бути заплановане на віддаленій системі за умови проходження належної автентифікації (наприклад, через RPC або спільний доступ до файлів і принтерів у середовищах Windows). Планування завдання на віддаленій системі зазвичай вимагає членства в групі адміністраторів або іншій привілейованій групі.
Зловмисники можуть використовувати планування завдань для виконання програм під час запуску системи або на регулярній основі для закріплення (Persistence). Ці механізми також можуть бути використані для запуску процесу в контексті конкретного облікового запису (наприклад, з підвищеними дозволами/привілеями). Подібно до техніки System Binary Proxy Execution, зловмисники також зловживають плануванням завдань, щоб потенційно маскувати одноразове виконання під виглядом довіреного системного процесу.
Як це працює на практиці? Windows (schtasks):
- schtasks /create /tn “SecurityScan” /tr “C:\Users\Public\backdoor.exe” /sc hourly /mo 1 Ця команда створює завдання під назвою “SecurityScan”, яке запускає вірус щогодини.
Linux (crontab):
- echo ”*/30 * * * * /tmp/.hidden_script.sh” | crontab - Додає запис, який запускає прихований скрипт кожні 30 хвилин.
Remote Scheduling:
- Зловмисник, маючи права адміна, може використати schtasks /create /s [Remote_PC] …, щоб закріпитися на іншому комп’ютері в мережі без безпосереднього входу через RDP.
Чому це небезпечно?
- Стійкість: Навіть якщо зловмисника «виб’ють» із активної сесії, завдання запустить бекдор знову через заданий інтервал.
- Привілеї: Завдання часто створюються для запуску від імені NT AUTHORITY\SYSTEM, що дає зловмиснику повний контроль над машиною.
- Маскування: Типова Windows має десятки запланованих завдань. Знайти серед них одне шкідливе — важке завдання для адміністратора.
Як виявити?
- Моніторинг логів: Windows Event ID 4698 (Створення запланованого завдання) та ID 4702 (Зміна завдання).
- Аналіз командного рядка: Відстеження запусків schtasks.exe або модифікацій файлів у /var/spool/cron/.
- Перевірка шляхів: Завдання, що запускають файли з підозрілих папок (наприклад, C:\Users\Public\ або C:\Windows\Temp), мають бути перевірені першочергово.