T1053: Запланированная задача (задание)
Злоумышленники могут использовать функцию планирования задач для первоначального или повторяющегося выполнения вредоносного кода. Во всех популярных операционных системах существуют утилиты, позволяющие планировать выполнение программ или сценариев на заданные дату и время. При условии соответствующей аутентификации можно также запланировать задачу в удаленной системе (например, используя механизмы удаленного вызова процедур и общего доступа к файлам и принтерам в средах Windows). Планирование задачи в удаленной системе, как правило, требует членства в группе администраторов или в другой привилегированной группе в удаленной системе.
Злоумышленники могут использовать планирование задач для выполнения программ при загрузке системы или по расписанию с целью закрепления в системе. Эти механизмы также могут использоваться для запуска процесса в контексте определенной учетной записи (например, учетной записи с повышенными привилегиями). Аналогично выполнению с помощью системных бинарных файлов злоумышленники также использовали планирование задач для разового запуска исполняемого файла из контекста доверенного системного процесса.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
unix_mitre_attck_persistence: PT-CR-1669: Unix_At_Job_Modify: Создание задачи с помощью команды at mitre_attck_lateral_movement: PT-CR-211: Remote_Code_Execution_Via_AtSvc: Удаленное создание запланированной задачи Windows с помощью AtSvc mitre_attck_lateral_movement: PT-CR-2330: Subrule_Task_Created_Via_Atsvc: Запланированная задача Windows создана с помощью AtSvc hacking_tools: PT-CR-2332: Atexec_Activity: Использован инструмент AtExec, предназначенный для запуска команд с помощью запланированных задач Windows
Подтехники
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте недавно созданные процессы со строками, которые создают или изменяют задачи или запускаются из задач. Например, в Windows задачи могут запускаться процессом Анализ 1. Планировщик заданий Windows
|
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для создания или изменения задач. Для создания задач также могут применяться такие техники, как Инструментарий управления Windows и PowerShell, поэтому для сбора данных об использовании этих средств рекомендуется настроить дополнительные функции журналирования. |
---|
ID | DS0003 | Источник и компонент данных | Запланированное задание: Создание запланированного задания | Описание | Отслеживайте недавно созданные запланированные задания. Если закрепление не является целью выполнения запланированных задач, злоумышленники, вероятнее всего, удалят такие задачи после выполнения нужных действий. В Windows включите параметр "Microsoft — Windows — Планировщик заданий / Операционные" в службе журнала событий, после чего будут регистрироваться несколько событий, связанных с выполнением запланированных заданий:
Кроме того, можно использовать инструменты, такие как Sysinternals Autoruns, для обнаружения изменений в системе, которые могут указывать на попытку закрепиться в ней, например, перечисление текущих запланированных заданий . |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте недавно созданные файлы, которые могут использовать функцию планирования задач для первоначального или повторяющегося выполнения вредоносного кода. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | В Windows отслеживайте хранилище планировщика заданий Windows в |
---|
ID | DS0032 | Источник и компонент данных | Контейнер: Создание контейнера | Описание | Отслеживайте создание контейнеров, в которых может использоваться функция планирования задач для разового или повторяющегося выполнения вредоносного кода. |
---|
Меры противодействия
ID | M1018 | Название | Управление учетными записями | Описание | Ограничьте привилегии пользователей и устраните способы повышения уровня привилегий, чтобы только авторизованные администраторы могли создавать задания оркестрации контейнеров. |
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Ограничьте доступ на чтение/запись к файлам модуля |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Проследите, чтобы контейнеры не запускались по умолчанию от имени root. В средах Kubernetes следует определить стандарты безопасности модулей, которые не позволят модулям запускать контейнеры с привилегиями. |
---|
ID | M1028 | Название | Изменение конфигурации ОС | Описание | Настройте параметры запланированных задач так, чтобы они запускались в контексте аутентифицированной учетной записи, а не от имени SYSTEM. Соответствующий раздел реестра находится по адресу |
---|
ID | M1047 | Название | Аудит | Описание | Такие наборы инструментов, как фреймворк PowerSploit, содержат модули PowerUp, с помощью которых можно исследовать системы на предмет слабых мест в разрешениях запланированных задач, которые могут быть использованы для повышения привилегий . Операционная система Windows также создает раздел реестра, связанный с созданием запланированной задачи на целевом узле: Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\At1 . В средах Linux и macOS запланированные задачи с использованием |
---|