T1053: Запланированная задача (задание)

Злоумышленники могут использовать функцию планирования задач для первоначального или повторяющегося выполнения вредоносного кода. Во всех популярных операционных системах существуют утилиты, позволяющие планировать выполнение программ или сценариев на заданные дату и время. При условии соответствующей аутентификации можно также запланировать задачу в удаленной системе (например, используя механизмы удаленного вызова процедур и общего доступа к файлам и принтерам в средах Windows). Планирование задачи в удаленной системе, как правило, требует членства в группе администраторов или в другой привилегированной группе в удаленной системе.

Злоумышленники могут использовать планирование задач для выполнения программ при загрузке системы или по расписанию с целью закрепления в системе. Эти механизмы также могут использоваться для запуска процесса в контексте определенной учетной записи (например, учетной записи с повышенными привилегиями). Аналогично выполнению с помощью системных бинарных файлов злоумышленники также использовали планирование задач для разового запуска исполняемого файла из контекста доверенного системного процесса.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_persistence: PT-CR-1669: Unix_At_Job_Modify: Создание задачи с помощью команды at mitre_attck_lateral_movement: PT-CR-211: Remote_Code_Execution_Via_AtSvc: Удаленное создание запланированной задачи Windows с помощью AtSvc mitre_attck_lateral_movement: PT-CR-2330: Subrule_Task_Created_Via_Atsvc: Запланированная задача Windows создана с помощью AtSvc hacking_tools: PT-CR-2332: Atexec_Activity: Использован инструмент AtExec, предназначенный для запуска команд с помощью запланированных задач Windows

Подтехники

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте недавно созданные процессы со строками, которые создают или изменяют задачи или запускаются из задач. Например, в Windows задачи могут запускаться процессом svchost.exe или, в более старых версиях ОС, через Планировщик заданий taskeng.exe . При сопоставлении запущенных задач с историческими данными можно выявить новые, подозрительные процессы, запущенные через планировщик заданий. Наличие запущенных экземпляров at.exe указывает на создание или опрашивание задач. Хотя анализ можно провести и без извлечения командной строки, оно потребуется для идентификации запланированных команд.

Анализ 1. Планировщик заданий Windows

(source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="*WinEventLog:Security" EventCode="4688") Image="*at.exe"

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для создания или изменения задач. Для создания задач также могут применяться такие техники, как Инструментарий управления Windows и PowerShell, поэтому для сбора данных об использовании этих средств рекомендуется настроить дополнительные функции журналирования.

IDDS0003Источник и компонент данныхЗапланированное задание: Создание запланированного заданияОписание

Отслеживайте недавно созданные запланированные задания. Если закрепление не является целью выполнения запланированных задач, злоумышленники, вероятнее всего, удалят такие задачи после выполнения нужных действий. В Windows включите параметр "Microsoft — Windows — Планировщик заданий / Операционные" в службе журнала событий, после чего будут регистрироваться несколько событий, связанных с выполнением запланированных заданий:

  • событие с ИД 106 в Windows 7, Server 2008 R2: запланированное задание зарегистрировано;
  • событие с ИД 4698 в Windows 10, Server 2016: запланированное задание создано;
  • событие с ИД 4700 в Windows 10, Server 2016: запланированное задание включено;
  • событие с ИД 4701 в Windows 10, Server 2016: запланированное задание отключено.

Кроме того, можно использовать инструменты, такие как Sysinternals Autoruns, для обнаружения изменений в системе, которые могут указывать на попытку закрепиться в ней, например, перечисление текущих запланированных заданий .

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте недавно созданные файлы, которые могут использовать функцию планирования задач для первоначального или повторяющегося выполнения вредоносного кода.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

В Windows отслеживайте хранилище планировщика заданий Windows в %systemroot%\System32\Tasks на предмет изменений в запланированных задачах, особенно тех, которые не связаны с известным ПО, циклами выпуска обновлений и т. п. В Linux и macOS все задания at хранятся в каталоге /var/spool/cron/atjobs/.

IDDS0032Источник и компонент данныхКонтейнер: Создание контейнераОписание

Отслеживайте создание контейнеров, в которых может использоваться функция планирования задач для разового или повторяющегося выполнения вредоносного кода.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Ограничьте привилегии пользователей и устраните способы повышения уровня привилегий, чтобы только авторизованные администраторы могли создавать задания оркестрации контейнеров.

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Ограничьте доступ на чтение/запись к файлам модуля .timer службы systemd только для избранных привилегированных пользователей, которым необходимо управлять системными службами.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Проследите, чтобы контейнеры не запускались по умолчанию от имени root. В средах Kubernetes следует определить стандарты безопасности модулей, которые не позволят модулям запускать контейнеры с привилегиями.

IDM1028НазваниеИзменение конфигурации ОСОписание

Настройте параметры запланированных задач так, чтобы они запускались в контексте аутентифицированной учетной записи, а не от имени SYSTEM. Соответствующий раздел реестра находится по адресу HKLM\SYSTEM\CurrentControlSet\Control\Lsa\SubmitControl. Этот параметр можно настроить с помощью GPO: Конфигурация компьютера > [Политики] > Параметры Windows > Параметры безопасности > Локальные политики > Параметры безопасности: Контроллер домена: Разрешить операторам сервера планировать задачи, установлено значение отключено .

IDM1047НазваниеАудитОписание

Такие наборы инструментов, как фреймворк PowerSploit, содержат модули PowerUp, с помощью которых можно исследовать системы на предмет слабых мест в разрешениях запланированных задач, которые могут быть использованы для повышения привилегий . Операционная система Windows также создает раздел реестра, связанный с созданием запланированной задачи на целевом узле: Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\At1 . В средах Linux и macOS запланированные задачи с использованием at могут быть проверены локально или через централизованный журнал, используя syslog или события auditd с хоста .