Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1053.005 - Запланированная задача

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1053 , T1053.002 , T1053.003 , T1053.005 , T1053.006 , T1053.007

Злоумышленники могут использовать планировщик задач Windows для планирования задач с целью первоначального или периодического выполнения вредоносного кода. В Windows существует несколько способов доступа к планировщику задач. Утилиту schtasks можно запустить непосредственно в командной строке или открыть планировщик задач через графический интерфейс в разделе «Инструменты администратора» панели управления.(Цитата: Stack Overflow) В некоторых случаях злоумышленники использовали .NET-обертку для планировщика задач Windows, а также использовали библиотеку Windows netapi32 и Windows Management Instrumentation (WMI) для создания запланированной задачи. Злоумышленники также могут использовать команду Powershell `Invoke-CimMethod`, которая использует WMI-класс `PS_ScheduledTask` для создания запланированной задачи через XML-путь.(Цитата: Red Canary - Atomic Red Team)

Злоумышленник может использовать планировщик задач Windows для выполнения программ при запуске системы или по расписанию для сохранения. Планировщик задач Windows также может быть использован для удаленного выполнения в рамках горизонтального перемещения и/или для запуска процесса в контексте определенной учетной записи (например, SYSTEM). Подобно System Binary Proxy Execution, злоумышленники также злоупотребляют планировщиком задач Windows для потенциальной маскировки однократного выполнения под подписанными/доверенными системными процессами.(Цитата: ProofPoint Serpent)

Злоумышленники также могут создавать «скрытые» запланированные задачи (например, Hide Artifacts), которые могут быть не видны инструментам защитника и ручным запросам, используемым для перечисления задач. В частности, злоумышленник может скрыть задачу от `schtasks /query` и планировщика задач, удалив связанное с ней значение реестра Security Descriptor (SD) (при этом удаление этого значения должно быть выполнено с правами SYSTEM).(Цит. по: SigmaHQ)(Цит. по: Задача по расписанию Tarrask) Злоумышленники также могут использовать альтернативные методы скрытия задач, например изменение метаданных (например, значения `Index`) в связанных ключах реестра.(Цит. по: Defending Against Scheduled Task Attacks in Windows Environments)

https://attack.mitre.org/techniques/T1053/005

← Назад

Визуализация смежных техник для T1053.005

Отрасль:
 с подтехниками
Техника

Закрыть