Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1053 , T1053.002 , T1053.003 , T1053.005 , T1053.006 , T1053.007
Злоумышленники могут злоупотреблять функцией планирования задач для облегчения первоначального или периодического выполнения вредоносного кода. Во всех основных операционных системах существуют утилиты, позволяющие планировать выполнение программ или скриптов на определенную дату и время. Задание также может быть запланировано на удаленной системе при условии надлежащей аутентификации (например, RPC и совместное использование файлов и принтеров в средах Windows).Для планирования задачи на удаленной системе обычно требуется членство в группе администраторов или другой привилегированной группе на удаленной системе.(Цитата: TechNet Task Scheduler Security)
Злоумышленники могут использовать планирование задач для выполнения программ при запуске системы или по расписанию для сохранения. Этими механизмами также можно злоупотреблять для запуска процесса в контексте определенной учетной записи (например, с повышенными правами/привилегиями).Подобно [System Binary Proxy Execution]+R[49]C(https://attack.mitre.org/techniques/T1218), злоумышленники также злоупотребляют планированием задач для потенциальной маскировки однократного выполнения под доверенным системным процессом.(Цитата: ProofPoint Serpent)
https://attack.mitre.org/techniques/T1053
Визуализация смежных техник для T1053
| № | Техника |
|---|
